引言
在当今互联世界中,交换图像和视频是最常见的用户交互之一。管理多媒体文件的方式在任何操作系统中几乎都相同,这使得多媒体组件成为了最危险的攻击面之一。黑客仅需将恶意代码隐藏在通过SMS,电子邮件或聊天(IM)消息发送的图像中,不需要任何用户交互,不会引起安全警报,仅需等待该文件到达目标设备后被处理、利用代码触发即可。因此,多媒体处理组件中的漏洞目前是黑客攻击中最“热门”的安全漏洞之一。
E安全5月3日讯,近日据外媒报道,谷歌在其4月28发布的报告中称,其漏洞追踪处理精英团队“Project Zero”表示,他们研究了苹果系统多媒体处理组件中的图像处理组件(Image I / O),它是所有Apple操作系统中用以解析和处理图像文件的内置框架,这意味着iOS,macOS,tvOS和watchOS上运行的大多数应用都依靠它来处理图像元数据, 因此它在整个Apple App生态系统中都发挥着核心作用。但同时,它却为黑客攻击提供了“零点击”入侵向量,这使它成为一个高危的攻击面。
谷歌Project Zero研究小组表示,他们使用“ 模糊测试”技术来探究Image I / O如何处理格式错误的图像文件,以观察该框架是如何响应异常的,最终确定了6个Image I / O漏洞以及8个OpenEXR漏洞。
截至目前,Project Zero研究小组表示,苹果操作系统中他们发现的错误已完成修复。六个Image I / O漏洞在1月和4月获得了安全更新,而OpenEXR错误已在v2.4.1中进行了修复。
Project Zero团队成员Grob表示,他们目前仅对苹果操作系统中的图像处理多媒体组件进行了测试,建议苹果公司内部维护人员通过源代码访问来进行深一步检测。在处理方法放面,Grob还提出,最简单的方法是给予app开发人员限制这种错误格式图片通过app进行Image I/O处理的权限。此外,从长远来看,苹果应该考虑加强其所有多媒体处理组件的安全防护,向Google和Mozilla分别为Android和Firefox所做的安全防护学习。