谷歌披露了影响所有苹果平台的零点击漏洞

互联网2020-07-23 11:38:41
导读 据ZDNet报道 ,由Google零项目团队发现并在周二的出版物中概述了Image I O漏洞,这

据ZDNet报道 ,由Google零项目团队发现并在周二的出版物中概述了Image I / O漏洞,这些漏洞很可能成为零点击攻击媒介的候选者。 映像I / O随iOS,macOS,watchOS和tvOS一起提供,这意味着这些缺陷存在于每个Apple主要平台上。 如Google的披露所述,图像I / O问题可追溯到围绕图像格式解析器的相对知名的问题。这些特殊的框架非常适合黑客使用,因为畸形的多媒体资产(如果允许处理)通常能够在目标系统上运行代码而无需用户干预。

零号项目使用称为“模糊处理”的过程戳入了图像I / O,以查看框架如何响应格式错误的图像文件。选择此项技术是因为Apple限制了对该工具大部分源代码的访问。

Google研究人员成功地找出了Image I / O中的六个漏洞,以及通过苹果框架公开的第三方“高动态范围(HDR)图像文件格式” OpenEXR中的八个漏洞。

Project的安全研究员SamuelGroß写道:“经过足够的努力(以及由于自动重启服务而授予的利用尝试),在0click攻击情形下,某些发现的漏洞可能会被利用来[远程执行代码]。”零。

Groß建议Apple在操作系统库和Messenger应用中进行连续的“模糊测试”以及“减少攻击面”,这是基于多媒体的攻击的另一种流行途径。后一种策略将以安全性的名义减少兼容的文件格式。

该报告称,苹果公司修复了在1月和4月推出的安全补丁中的六个Image I / O漏洞。

免责声明:本文由用户上传,如有侵权请联系删除!