近日曝光的蘋果Image I/O漏洞的影響范圍有多大？對(duì)于公司的平臺(tái)來說，圖像I/O對(duì)于公司的多媒體處理框架具有重要意義。ZDNet報(bào)道說，谷歌的Project Zero團(tuán)隊(duì)周二概述了該漏洞的許多細(xì)節(jié)

近日曝光的蘋果Image I/O漏洞的影響范圍有多大？

對(duì)于公司的平臺(tái)來說，圖像I/O對(duì)于公司的多媒體處理框架具有重要意義。

ZDNet報(bào)道說，谷歌的Project Zero團(tuán)隊(duì)周二概述了該漏洞的許多細(xì)節(jié)。如果被別有用心的人使用，或?qū)е掠脩粼庥觥傲泓c(diǎn)擊”攻擊。

據(jù)報(bào)道，映像I/O與IOS、MacOS、watchos和tvos一起提供給應(yīng)用程序開發(fā)人員。因此，谷歌暴露的這一缺陷幾乎影響到蘋果的每一個(gè)主要平臺(tái)。

這個(gè)問題可以追溯到圖像格式解析器的一些常見問題。這些特殊的框架非常適合黑客使用。通過創(chuàng)建異常的媒體文件，我們可以在目標(biāo)系統(tǒng)上運(yùn)行“零點(diǎn)擊”代碼，而無需用戶干預(yù)。

Google Project Zero補(bǔ)充說，他們分析了圖像I/O的“模糊”過程，以了解框架如何響應(yīng)錯(cuò)誤的圖像文件格式。之所以選擇這項(xiàng)技術(shù)，是因?yàn)樘O果限制了對(duì)該工具大部分源代碼的訪問。

因此，谷歌研究人員成功地發(fā)現(xiàn)了圖像I/O中的6個(gè)漏洞和openexr中的其他8個(gè)漏洞，openexr是蘋果向第三方披露的“高動(dòng)態(tài)范圍（HDR）圖像文件格式”的框架。

Samuel grodi，一位Google Project Zero安全研究員，寫道：“由于服務(wù)的自動(dòng)重啟，我們付出了足夠的努力并進(jìn)行了攻擊嘗試，我們發(fā)現(xiàn)某些漏洞可以被利用來執(zhí)行‘零點(diǎn)擊’遠(yuǎn)程代碼?！?。

由于這是另一種流行的基于多媒體的攻擊方式，因此建議蘋果在操作系統(tǒng)庫和messenger應(yīng)用程序中實(shí)施連續(xù)的“模糊性測試”和“減少攻擊面”，其中包括以安全的名義減少某些文件格式的兼容性策略。

最后，需要指出的是，蘋果在1月和4月發(fā)布的安全補(bǔ)丁中修復(fù)了6個(gè)與圖像I/O相關(guān)的漏洞。