周二的時候，谷歌公布其在蘋果公司的圖像 I/O 中發現了當前已被修復的一些 bug 。對于該公司的平臺來說，Image I/O 對其多媒體處理框架有著至關重要的意義。ZDNet 報道稱，谷歌旗下 Project Zero 團隊在周二概述了該漏洞的諸多細節。若被別有用心者利用，或導致用戶遭遇“零點擊”攻擊。

資料圖（來自：Apple）

　　據悉，Image I/O 隨 iOS、macOS、watchOS 和 tvOS 一起向應用開發者提供。因此谷歌曝光的這一缺陷，幾乎影響蘋果的每一個主要平臺。

　　問題可追溯到圍繞圖像格式解析器的一些老生常談的問題，這些特殊的框架很適合被黑客利用。通過編造畸形的媒體文件，便可在目標系統上運行無需用戶干預的“零點擊”代碼。

　　谷歌 Project Zero 補充道，他們分析了 Image I/O 的“模糊處理”過程，以觀察該框架是如何響應錯誤的圖像文件格式的。之所以選擇這項技術，是因為蘋果限制了對該工具大部分源代碼的訪問。

　　結果是，谷歌研究人員成功地找到了 Image I/O 中的六個漏洞、以及 OpenEXR 中的另外八個漏洞，后者正是蘋果向第三方公開的“高動態范圍（HDR）圖像文件格式”的框架。

　　谷歌 Project Zero 安全研究人員 Samuel Groß 寫道：“經過足夠的努力，以及由于自動重啟服務而授予的利用嘗試，我們發現某些漏洞可被利用開執行‘零點擊’的遠程代碼”。

　　鑒于這是一種基于多媒體攻擊的另一種流行途徑，其建議蘋果在操作系統庫和 Messenger 應用中實施連續的“模糊測試”和“減少受攻擊面”，后者包括以安全性的名義而減少對某些文件格式的兼容政策。

　　最后需要指出的是，蘋果已經在 1 月和 4 月推出的安全補丁中，修復了與 Image I/O 有關的六個漏洞。

總結

以上是生活随笔為你收集整理的谷歌披露影响苹果全平台的Image I/O零点击漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。