一张图片竟带来如此风险?苹果操作系统多媒体处理组件暗含严重隐患
引言
在当今互联世界中 , 交换图像和视频是最常见的用户交互之一 。 管理多媒体文件的方式在任何操作系统中几乎都相同 , 这使得多媒体组件成为了最危险的攻击面之一 。 黑客仅需将恶意代码隐藏在通过SMS , 电子邮件或聊天(IM)消息发送的图像中 , 不需要任何用户交互 , 不会引起安全警报 , 仅需等待该文件到达目标设备后被处理、利用代码触发即可 。 因此 , 多媒体处理组件中的漏洞目前是黑客攻击中最“热门”的安全漏洞之一 。
E安全5月3日讯 , 近日据外媒报道 , 谷歌在其4月28发布的报告中称 , 其漏洞追踪处理精英团队“ProjectZero”表示 , 他们研究了苹果系统多媒体处理组件中的图像处理组件(ImageI/O) , 它是所有Apple操作系统中用以解析和处理图像文件的内置框架 , 这意味着iOS , macOS , tvOS和watchOS上运行的大多数应用都依靠它来处理图像元数据,因此它在整个AppleApp生态系统中都发挥着核心作用 。 但同时 , 它却为黑客攻击提供了“零点击”入侵向量 , 这使它成为一个高危的攻击面 。
文章图片
谷歌ProjectZero研究小组表示 , 他们使用“模糊测试”技术来探究ImageI/O如何处理格式错误的图像文件 , 以观察该框架是如何响应异常的 , 最终确定了6个ImageI/O漏洞以及8个OpenEXR漏洞 。
截至目前 , ProjectZero研究小组表示 , 苹果操作系统中他们发现的错误已完成修复 。 六个ImageI/O漏洞在1月和4月获得了安全更新 , 而OpenEXR错误已在v2.4.1中进行了修复 。
【一张图片竟带来如此风险?苹果操作系统多媒体处理组件暗含严重隐患】ProjectZero团队成员Grob表示 , 他们目前仅对苹果操作系统中的图像处理多媒体组件进行了测试 , 建议苹果公司内部维护人员通过源代码访问来进行深一步检测 。 在处理方法放面 , Grob还提出 , 最简单的方法是给予app开发人员限制这种错误格式图片通过app进行ImageI/O处理的权限 。 此外 , 从长远来看 , 苹果应该考虑加强其所有多媒体处理组件的安全防护 , 向Google和Mozilla分别为Android和Firefox所做的安全防护学习 。
文章图片
推荐阅读
- 30年前的张曼玉有多美?西装白衬衫,一张懵懂不经事的高级脸
- GL8陆尊-何为MPV陆地之尊
- 事发襄阳公交车上的一幕!司机盯了一路,真相竟是……
- 用“发烧”恶作剧!急救人员苦寻无果竟是“熊孩子”在搞鬼
- 刚毕业医学生都不会犯的错误,号称“世界最强”美国疾控中心竟踩了雷?
- 鹿晗,你的时尚就是这么的清爽
- 科目三竟有“小陷阱”?安全员绝对不会说,网友:难怪逢考必挂!
- 一张警民联系卡 打通服务通道“零距离”
- 当天拿证当天“吊销” 男子拿C1证竟酒驾二轮摩托车
- 固原女子家中凌晨闯入不速之客,钱包里几十块钱竟看不上偷