近日曝光的蘋果Image I/O漏洞的影響范圍有多大？對于公司的平臺來說，圖像I/O對于公司的多媒體處理框架具有重要意義。ZDNet報道說，谷歌的Project Zero團隊周二概述了該漏洞的許多細節(jié)

近日曝光的蘋果Image I/O漏洞的影響范圍有多大？

對于公司的平臺來說，圖像I/O對于公司的多媒體處理框架具有重要意義。

ZDNet報道說，谷歌的Project Zero團隊周二概述了該漏洞的許多細節(jié)。如果被別有用心的人使用，或導致用戶遭遇“零點擊”攻擊。

據報道，映像I/O與IOS、MacOS、watchos和tvos一起提供給應用程序開發(fā)人員。因此，谷歌暴露的這一缺陷幾乎影響到蘋果的每一個主要平臺。

這個問題可以追溯到圖像格式解析器的一些常見問題。這些特殊的框架非常適合黑客使用。通過創(chuàng)建異常的媒體文件，我們可以在目標系統(tǒng)上運行“零點擊”代碼，而無需用戶干預。

Google Project Zero補充說，他們分析了圖像I/O的“模糊”過程，以了解框架如何響應錯誤的圖像文件格式。之所以選擇這項技術，是因為蘋果限制了對該工具大部分源代碼的訪問。

因此，谷歌研究人員成功地發(fā)現(xiàn)了圖像I/O中的6個漏洞和openexr中的其他8個漏洞，openexr是蘋果向第三方披露的“高動態(tài)范圍（HDR）圖像文件格式”的框架。

Samuel grodi，一位Google Project Zero安全研究員，寫道：“由于服務的自動重啟，我們付出了足夠的努力并進行了攻擊嘗試，我們發(fā)現(xiàn)某些漏洞可以被利用來執(zhí)行‘零點擊’遠程代碼?！?。

由于這是另一種流行的基于多媒體的攻擊方式，因此建議蘋果在操作系統(tǒng)庫和messenger應用程序中實施連續(xù)的“模糊性測試”和“減少攻擊面”，其中包括以安全的名義減少某些文件格式的兼容性策略。

最后，需要指出的是，蘋果在1月和4月發(fā)布的安全補丁中修復了6個與圖像I/O相關的漏洞。