Google披露苹果Image I/O零点击漏洞 现已修复
多媒体处理元件可说是当今最危险的攻击面之一,Google Project Zero专案研究人员Samuel Groß周二(28日)发布报告揭露了苹果Image I / O(影像输入/输出)漏洞,这些漏洞很可能成为零点击(Zero-Click)的攻击向量。
据《ZDNet》报导,Project Zero团队研究了苹果设备中Image I / O,其为所有苹果作业系统中用于解析及处理图像文件的架构,与iOS、macOS、watchOS及tvOS一同提供,大多数App都依靠其来处理图像诠释资料(metadata)。由于Image I / O在整个苹果App生态系统中发挥着核心作用,因此可说是个危险的攻击面。
Samuel Groß在报告中表示,他们利用一种称作模糊测试(fuzzing)的软体测试技术来测试Image I / O如何处理格式错误的图像文件,并成功找到了6个漏洞,另有8个OpenEXR漏洞,即苹果向第三方公开的高动态范围(HDR)图像文件格式框架。报告中指出,某些漏洞可被利用来进行远端程式码执行(RCE)。
目前上述Bug都已修复。其中6个Image I / O Bug已陆续于1月及4月的安全更新中修复,而OpenEXR Bug则在v2.4.1中修复。
《ZDNet》指出,从攻击者角度来看,多媒体处理元件中的Bug是个相当理想的攻击面,攻击者仅需将格式错误的多媒体文件发送至设备,等该文件备处理并利用程式码触发即可。
毕竟多媒体已成为用户间最常见的互动之一,攻击者只要将恶意程式码隐藏在简讯(SMS)、电子邮件或即时通讯(IM)内容中即可轻松展开攻击,且不易引起警示。