Google披露蘋果Image I/O零點擊漏洞 現已修復
多媒體處理元件可說是當今最危險的攻擊面之一,Google Project Zero專案研究人員Samuel Groß週二(28日)發佈報告揭露了蘋果Image I / O(影像輸入/輸出)漏洞,這些漏洞很可能成爲零點擊(Zero-Click)的攻擊向量。
據《ZDNet》報導,Project Zero團隊研究了蘋果設備中Image I / O,其爲所有蘋果作業系統中用於解析及處理圖像文件的架構,與iOS、macOS、watchOS及tvOS一同提供,大多數App都依靠其來處理圖像詮釋資料(metadata)。由於Image I / O在整個蘋果App生態系統中發揮着核心作用,因此可說是個危險的攻擊面。
Samuel Groß在報告中表示,他們利用一種稱作模糊測試(fuzzing)的軟體測試技術來測試Image I / O如何處理格式錯誤的圖像文件,併成功找到了6個漏洞,另有8個OpenEXR漏洞,即蘋果向第三方公開的高動態範圍(HDR)圖像文件格式框架。報告中指出,某些漏洞可被利用來進行遠端程式碼執行(RCE)。
目前上述Bug都已修復。其中6個Image I / O Bug已陸續於1月及4月的安全更新中修復,而OpenEXR Bug則在v2.4.1中修復。
《ZDNet》指出,從攻擊者角度來看,多媒體處理元件中的Bug是個相當理想的攻擊面,攻擊者僅需將格式錯誤的多媒體文件發送至設備,等該文件備處理並利用程式碼觸發即可。
畢竟多媒體已成爲用戶間最常見的互動之一,攻擊者只要將惡意程式碼隱藏在簡訊(SMS)、電子郵件或即時通訊(IM)內容中即可輕鬆展開攻擊,且不易引起警示。