技术编辑:徐九丨发自 立夏了
SegmentFault 思否报道丨公众号:SegmentFault
近日,谷歌宣布其在苹果公司的 Image I/O 中发现了安全漏洞。在苹果官方声称这对用户没有风险且安全漏洞已得到修补后,谷歌旗下 Project Zero 团队概述了该漏洞的诸多细节。根据爆料显示,若该漏洞被别有用心者利用,或导致用户遭遇“零点击”攻击。
对于苹果公司来说,Image I/O 对其多媒体处理框架有着至关重要的意义。Image I/O库是被 iOS、MacOS、WatchOS 和 TVOS 所共有的多媒体库,因此谷歌曝光的这一缺陷,几乎影响苹果的每一个主要平台。
当通过文本、电子邮件或其他方式收到图像文件时,该图像将被传递到 OS 库,在该库中对其进行解析以确定它是什么。由于不需要用户交互才能隐藏图像中的代码来运行这些缺陷,因此受到了黑客的追捧(因此 Google Project Zero 在苹果解决该缺陷之前就没有公开该缺陷)。
谷歌 Project Zero 对此补充道,他们分析了 Image I/O 的「模糊处理」过程,以观察该框架是如何响应错误的图像文件格式的。之所以选择这种方式,是因为苹果限制了对该工具大部分源代码的访问。
经过研究,谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞,后者正是苹果向第三方公开的「高动态范围(HDR)图像文件格式」框架。
鉴于这是一种基于多媒体攻击的另一种流行途径,谷歌 Project Zero 团队建议苹果在操作系统库和 Messenger 应用中实施连续的「模糊测试」和「减少受攻击面」,后者包括以安全性的名义而减少对某些文件格式的兼容政策。
据悉,苹果已经在 1 月和 4 月推出的安全补丁中,修复了与 Image I/O 有关的六个漏洞。
Project Zero 是 Google 公司于 2014 年 7 月 15 日所公开的一个信息安全团队,此团队专责找出各种软件的安全漏洞,特别是零日漏洞。此团队的领导者为曾任 Google Chrome 安全小组的克里斯·伊凡斯(Chris Evans)。
该团队找出安全漏洞之后,会即时通知受影响软件的开发者,在开发者还没修补此漏洞前,不会对外公布。但 90 天之后,无论原开发者是否已修复漏洞,都会自动公开。
对此,谷歌官方表示:“我们的目的是为了大幅减少有针对性的网络攻击。我们会聘请最好的、有想法且具备实践能力的安全研究人员来改善整个互联网的安全,并为之付出其 100% 的时间与精力。