谷歌披露影响苹果全平台的Image I/O零点击漏洞
周二的时候,谷歌公布其在苹果公司的图像 I/O 中发现了当前已被修复的一些 bug 。对于该公司的平台来说,Image I/O 对其多媒体处理框架有着至关重要的意义。ZDNet 报道称,谷歌旗下 Project Zero 团队在周二概述了该漏洞的诸多细节。若被别有用心者利用,或导致用户遭遇“零点击”攻击。
资料图(来自:Apple)
据悉,Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开发者提供。因此谷歌曝光的这一缺陷,几乎影响苹果的每一个主要平台。
问题可追溯到围绕图像格式解析器的一些老生常谈的问题,这些特殊的框架很适合被黑客利用。通过编造畸形的媒体文件,便可在目标系统上运行无需用户干预的“零点击”代码。
谷歌 Project Zero 补充道,他们分析了 Image I/O 的“模糊处理”过程,以观察该框架是如何响应错误的图像文件格式的。之所以选择这项技术,是因为苹果限制了对该工具大部分源代码的访问。
结果是,谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞,后者正是苹果向第三方公开的“高动态范围(HDR)图像文件格式”的框架。
谷歌 Project Zero 安全研究人员 Samuel Groß 写道:“经过足够的努力,以及由于自动重启服务而授予的利用尝试,我们发现某些漏洞可被利用开执行‘零点击’的远程代码”。
鉴于这是一种基于多媒体攻击的另一种流行途径,其建议苹果在操作系统库和 Messenger 应用中实施连续的“模糊测试”和“减少受攻击面”,后者包括以安全性的名义而减少对某些文件格式的兼容政策。
最后需要指出的是,苹果已经在 1 月和 4 月推出的安全补丁中,修复了与 Image I/O 有关的六个漏洞。
- 苹果紧急修复iOS11.2漏洞, 智能家居平台HomeKit可被远程操控
- 英特尔芯片漏洞危机:波及谷歌微软 影响你的电脑和手机 | 热点
- 芯片漏洞影响扩大 苹果iPhone等产品也难幸免
- intel漏洞 CVE-2017-5715、CVE-CVE-2017-5753、CVE-2017-5754 受影响的英特尔®平台
- 谷歌指责苹果微软等合伙打压Android平台
- 英特尔再爆重大芯片漏洞,苹果谷歌微软相继中招!
- 消息称苹果将推出手机广告平台iAd 对抗谷歌
- 垂死挣扎的 Flash Player 再爆零日漏洞,影响多个平台
- 亚马逊打造自有游戏平台 欲打破苹果谷歌垄断
- 2008手机平台之战 苹果/微软/谷歌三大巨头谁是赢家
- 赛门铁克:苹果iOS安全性优于谷歌Android平台
- 谷歌再次披露两个 Windows 漏洞
- Android漏洞影响99%设备 谷歌提供补丁程序
- 谷歌 Project Zero 团队宣布新政策,漏洞披露前将有完整的 90 天缓冲期
- 关于谷歌(Google)、苹果(Apple)、微软(Microsoft)专利之争的一点看法
- KeyMob-移动广告聚合平台-安卓、苹果应用推广
- CVE通用漏洞与披露
- 分析谷歌收购摩托罗拉无线对移动产业带来的影响
- 谷歌VS苹果:10大领域之争