一张图片竟带来如此风险？苹果操作系统多媒体组件暗含严重隐患

原标题：一张图片竟带来如此风险？苹果操作系统多媒体组件暗含严重隐患

E安全5月3日讯，近日据外媒报道，谷歌在其4月28发布的报告中称，其漏洞追踪处理精英团队“Project Zero”表示，他们研究了苹果系统多媒体处理组件中的图像处理组件（Image I / O），它是所有Apple操作系统中用以解析和处理图像文件的内置框架，这意味着iOS，macOS，tvOS和watchOS上运行的大多数应用都依靠它来处理图像元数据, 因此它在整个Apple App生态系统中都发挥着核心作用。但同时，它却为黑客攻击提供了“零点击”入侵向量，这使它成为一个高危的攻击面。

打开网易新闻 查看更多图片

谷歌 Project Zero 研究小组表示，他们使用“ 模糊测试”技术来探究 Image I / O 如何处理格式错误的图像文件，以观察该框架是如何响应异常的，最终确定了 6 个 Image I / O 漏洞以及 8 个 OpenEXR 漏洞。

截至目前， Project Zero 研究小组表示，苹果操作系统中他们发现的错误已完成修复。六个 Image I / O 漏洞在 1 月和 4 月获得了安全更新，而 OpenEXR 错误已在 v2.4.1 中进行了修复。

Project Zero团队成员Grob表示，他们目前仅对苹果操作系统中的图像处理多媒体组件进行了测试，建议苹果公司内部维护人员通过源代码访问来进行深一步检测。在处理方法放面， Grob还 提出 ，最简单的方法是给予app开发人员限制这种错误格式图片通过app进行Image I/O处理 的权限 。 此外，从长远来看，苹果应该考虑加强 其所有 多媒体处理组件 的安全防护 ，向Google和Mozilla分别为Android和Firefox所做的安全防护学习 。