「E安全」一张图片竟带来如此风险？苹果操作系统多媒体处理组件暗含严重隐患

引言
在当今互联世界中，交换图像和视频是最常见的用户交互之一。管理多媒体文件的方式在任何操作系统中几乎都相同，这使得多媒体组件成为了最危险的攻击面之一。黑客仅需将恶意代码隐藏在通过SMS ，电子邮件或聊天（IM）消息发送的图像中，不需要任何用户交互，不会引起安全警报，仅需等待该文件到达目标设备后被处理、利用代码触发即可。因此，多媒体处理组件中的漏洞目前是黑客攻击中最“热门”的安全漏洞之一。
E安全5月3日讯，近日据外媒报道，谷歌在其4月28发布的报告中称，其漏洞追踪处理精英团队“Project Zero”表示，他们研究了苹果系统多媒体处理组件中的图像处理组件（Image I / O），它是所有Apple操作系统中用以解析和处理图像文件的内置框架，这意味着iOS ， macOS ， tvOS和watchOS上运行的大多数应用都依靠它来处理图像元数据, 因此它在整个Apple App生态系统中都发挥着核心作用。但同时，它却为黑客攻击提供了“零点击”入侵向量，这使它成为一个高危的攻击面。

本文插图
谷歌Project Zero研究小组表示，他们使用“ 模糊测试”技术来探究Image I / O如何处理格式错误的图像文件，以观察该框架是如何响应异常的，最终确定了6个Image I / O漏洞以及8个OpenEXR漏洞。
截至目前， Project Zero研究小组表示，苹果操作系统中他们发现的错误已完成修复。六个Image I / O漏洞在1月和4月获得了安全更新，而OpenEXR错误已在v2.4.1中进行了修复。
【「E安全」一张图片竟带来如此风险？苹果操作系统多媒体处理组件暗含严重隐患】Project Zero团队成员Grob表示，他们目前仅对苹果操作系统中的图像处理多媒体组件进行了测试，建议苹果公司内部维护人员通过源代码访问来进行深一步检测。在处理方法放面， Grob还提出，最简单的方法是给予app开发人员限制这种错误格式图片通过app进行Image I/O处理的权限。此外，从长远来看，苹果应该考虑加强其所有多媒体处理组件的安全防护，向Google和Mozilla分别为Android和Firefox所做的安全防护学习。