周二的时候,谷歌发布其在苹果公司的图像 I/O 中发明白当前已被修复的一些 bug 。对付该公司的平台来说,Image I/O 对其多媒体处理惩罚框架有着至关重要的意义。ZDNet 报道称,谷歌旗下 Project Zero 团队在周二概述了该裂痕的诸多细节。若被醉翁之意者操作,或导致用户遭遇“零点击”进攻。
资料图(来自:Apple)
据悉,Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开拓者提供。因此谷歌曝光的这一缺陷,险些影响苹果的每一个主要平台。
问题可追溯到环绕图像名目理会器的一些老生常谈的问题,这些非凡的框架很适合被黑客操作。通过编造畸形的媒体文件,便可在方针系统上运行无需用户过问的“零点击”代码。
谷歌 Project Zero 增补道,他们阐明白 Image I/O 的“恍惚处理惩罚”进程,以调查该框架是如何响应错误的图像文件名目标。之所以选择这项技能,是因为苹果限制了对该东西大部门源代码的会见。
功效是,谷歌研究人员乐成地找到了 Image I/O 中的六个裂痕、以及 OpenEXR 中的别的八个裂痕,后者正是苹果向第三方果真的“高动态范畴(HDR)图像文件名目”的框架。
谷歌 Project Zero 安详研究人员 Samuel Groß 写道:“颠末足够的尽力,以及由于自动重启处事而授予的操作实验,我们发明某些裂痕可被操作开执行‘零点击’的长途代码”。
鉴于这是一种基于多媒体进攻的另一种风行途径,其发起苹果在操纵系统库和 Messenger 应用中实施持续的“恍惚测试”和“淘汰受进攻面”,后者包罗以安详性的名义而淘汰对某些文件名目标兼容政策。
最后需要指出的是,苹果已经在 1 月和 4 月推出的安详补丁中,修复了与 Image I/O 有关的六个裂痕。
Linux公社的RSS地点:https://www.linuxidc.com/rssFeed.aspx