一张图片竟带来如此风险?苹果操作系统多媒体处理组件暗含严重隐患
更多全球网络安全资讯尽在E安全官网 www.easyaq.com
E安全5月3日讯,谷歌漏洞追踪处理精英团队Project Zero发现苹果操作系统多媒体处理组件存在严重漏洞...
更多全球网络安全资讯尽在E安全官网 www.easyaq.com
引言
在当今互联世界中,交换图像和视频是最常见的用户交互之一。管理多媒体文件的方式在任何操作系统中几乎都相同,这使得多媒体组件成为了最危险的攻击面之一。黑客仅需将恶意代码隐藏在通过SMS,电子邮件或聊天(IM)消息发送的图像中,不需要任何用户交互,不会引起安全警报,仅需等待该文件到达目标设备后被处理、利用代码触发即可。因此,多媒体处理组件中的漏洞目前是黑客攻击中最“热门”的安全漏洞之一。
E安全5月3日讯,近日据外媒报道,谷歌在其4月28发布的报告中称,其漏洞追踪处理精英团队“Project Zero”表示,他们研究了苹果系统多媒体处理组件中的图像处理组件(Image I / O),它是所有Apple操作系统中用以解析和处理图像文件的内置框架,这意味着iOS,macOS,tvOS和watchOS上运行的大多数应用都依靠它来处理图像元数据, 因此它在整个Apple App生态系统中都发挥着核心作用。但同时,它却为黑客攻击提供了“零点击”入侵向量,这使它成为一个高危的攻击面。在当今互联世界中,交换图像和视频是最常见的用户交互之一。管理多媒体文件的方式在任何操作系统中几乎都相同,这使得多媒体组件成为了最危险的攻击面之一。黑客仅需将恶意代码隐藏在通过SMS,电子邮件或聊天(IM)消息发送的图像中,不需要任何用户交互,不会引起安全警报,仅需等待该文件到达目标设备后被处理、利用代码触发即可。因此,多媒体处理组件中的漏洞目前是黑客攻击中最“热门”的安全漏洞之一。
谷歌Project Zero研究小组表示,他们使用“ 模糊测试”技术来探究Image I / O如何处理格式错误的图像文件,以观察该框架是如何响应异常的,最终确定了6个Image I / O漏洞以及8个OpenEXR漏洞。
截至目前,Project Zero研究小组表示,苹果操作系统中他们发现的错误已完成修复。六个Image I / O漏洞在1月和4月获得了安全更新,而OpenEXR错误已在v2.4.1中进行了修复。
Project Zero团队成员Grob表示,他们目前仅对苹果操作系统中的图像处理多媒体组件进行了测试,建议苹果公司内部维护人员通过源代码访问来进行深一步检测。在处理方法放面,Grob还提出,最简单的方法是给予app开发人员限制这种错误格式图片通过app进行Image I/O处理的权限。此外,从长远来看,苹果应该考虑加强其所有多媒体处理组件的安全防护,向Google和Mozilla分别为Android和Firefox所做的安全防护学习。
推荐阅读:注:本文由E安全编译报道,转载请注原文地址
https://www.easyaq.com
- 国际原油走势又现断崖 是黑客攻击在搅局?
- 安恒主机卫士EDR入驻统信UOS应用商店 全方位主机安全防护“上线”
- 攻击浪潮长达四年 间谍组织如何一次又一次地破坏Google Play?
- 数十个关键代码漏洞被修复 Adobe为Bridge、Illustrator和Magento解决难题
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!
关注 E安全
微信扫一扫关注公众号