Apple Mail風(fēng)波才剛剛過(guò)去，谷歌又炸出了蘋(píng)果一波新漏洞，這一操作是否又讓蘋(píng)果用戶的信心碎了一地?

昨日，谷歌安全團(tuán)隊(duì)Project Zero披露一系列蘋(píng)果的安全漏洞，涉及iPhone、iPad、Mac用戶。該團(tuán)隊(duì)利用“Fuzzing”測(cè)試發(fā)現(xiàn)蘋(píng)果基礎(chǔ)功能Image I/O框架中的6個(gè)漏洞，OpenEXR中的8個(gè)漏洞。

[[324552]]

隨后谷歌團(tuán)隊(duì)向蘋(píng)果報(bào)告了這些漏洞，6個(gè)Image I/O問(wèn)題在1月和4月獲得了安全更新，而OpenEXR則已在v2.4.1中進(jìn)行了修補(bǔ)。在iOS13版本后都已經(jīng)更新和修復(fù)，用戶只需要將設(shè)備更新到最新版本即可。

說(shuō)到Image I/O框架或許大家都還很陌生，簡(jiǎn)單來(lái)說(shuō)就是會(huì)影響到設(shè)備圖像使用的多媒體組件。當(dāng)用戶打開(kāi)手機(jī)相冊(cè)或者用微信傳輸圖像時(shí)，這一框架就派上用場(chǎng)了。這意味著用戶設(shè)備上的圖片讀寫(xiě)存儲(chǔ)、社交工具中圖像傳輸?shù)壬婕皥D像使用的基本都會(huì)用到這一基礎(chǔ)框架。

Image I/O框架支持大多數(shù)常見(jiàn)的圖像文件格式，如JPEG、JPEG2000、RAW、TIFF、BMP和PNG。當(dāng)用戶需要用到圖片數(shù)據(jù)時(shí)，圖片源是最好的方式。圖片源提取了數(shù)據(jù)訪問(wèn)任務(wù)并且節(jié)省了通過(guò)原始緩存數(shù)據(jù)中管理數(shù)據(jù)的需要。數(shù)據(jù)源可以包含多個(gè)圖片、縮略圖、每張圖片的屬性和圖片文件。

黑客如何利用這一框架進(jìn)行攻擊?在Project Zero團(tuán)隊(duì)的“Fuzzing”測(cè)試中，發(fā)現(xiàn)以下Image I/O中的6個(gè)漏洞：

該團(tuán)隊(duì)通過(guò)調(diào)整圖片文件的部分參數(shù)，比如虛假的圖片高度、寬度等，就會(huì)導(dǎo)致Image I/O框架運(yùn)行出錯(cuò)?；蛘咴?ldquo;Fuzzing”過(guò)程中為Image I/O提供意外輸入，以檢測(cè)框架代碼中的異常和潛在的未來(lái)攻擊入口點(diǎn)?？傊?，通過(guò)異常的媒體文件，即可在目標(biāo)設(shè)備運(yùn)行無(wú)需用戶干預(yù)的“零點(diǎn)擊”代碼。

上圖顯示的Image I/O中的最后一個(gè)漏洞涉及OpenEXR圖像處理內(nèi)存溢出問(wèn)題，該團(tuán)隊(duì)對(duì)開(kāi)源的OpenEXR也進(jìn)行了“Fuzzing”測(cè)試。

最后，該團(tuán)隊(duì)在OpenEXR中發(fā)現(xiàn)了8個(gè)漏洞。OpenEXR是一個(gè)用于解析EXR圖像文件的開(kāi)源庫(kù)，它作為第三方組件隨Image I/O一起發(fā)布，即蘋(píng)果向第三方公開(kāi)的“高動(dòng)態(tài)范圍(HDR)圖像文件格式”的框架。

兩個(gè)框架中的一系列漏洞會(huì)導(dǎo)致嚴(yán)重的用戶數(shù)據(jù)泄露。再進(jìn)一步而言，黑客嘗試自動(dòng)重啟服務(wù)授權(quán)漏洞利用，存在可執(zhí)行“零點(diǎn)擊”遠(yuǎn)程代碼的可能。

多媒體組件是最容易遭受黑客攻擊的一個(gè)操作系統(tǒng)。Project Zero揭露的這一系列漏洞都是基礎(chǔ)操作中容易遭到利用并產(chǎn)生嚴(yán)重后果的。

設(shè)備中的任何新型的多媒體文件，比如圖像、音頻、視頻等都會(huì)自動(dòng)轉(zhuǎn)到本地OS庫(kù)中并自動(dòng)解析文件內(nèi)容和處理流程。因此，攻擊者一旦利用這些多媒體組件中的漏洞就可以無(wú)需用戶交互地執(zhí)行遠(yuǎn)程代碼，進(jìn)而接管設(shè)備或者開(kāi)展其他惡意操作。

而在如今的社會(huì)，圖像傳輸、視頻分享等都是人們的家常便飯。隱藏在這些SMS、電子郵件、社交媒體中的惡意代碼讓用戶的設(shè)備在網(wǎng)絡(luò)上“裸奔”，這應(yīng)該是要引起廣泛關(guān)注的問(wèn)題。

今有蘋(píng)果Image I/O漏洞竊取用戶圖像數(shù)據(jù)，昨有g(shù)if動(dòng)圖接管微軟Teams賬戶，這不禁讓人反思，供應(yīng)商在多媒體處理庫(kù)的安全風(fēng)險(xiǎn)防范是不是還不夠?