谷歌安全团队爆苹果 Image I/O 存重大漏洞，或可影响所有苹果设备

本文主要是介绍谷歌安全团队爆苹果 Image I/O 存重大漏洞，或可影响所有苹果设备，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

技术编辑：徐九丨发自 立夏了
SegmentFault 思否报道丨公众号：SegmentFault

---

近日，谷歌宣布其在苹果公司的 Image I/O 中发现了安全漏洞。在苹果官方声称这对用户没有风险且安全漏洞已得到修补后，谷歌旗下 Project Zero 团队概述了该漏洞的诸多细节。根据爆料显示，若该漏洞被别有用心者利用，或导致用户遭遇“零点击”攻击。

Image I/O 漏洞，或可影响所有苹果设备

对于苹果公司来说，Image I/O 对其多媒体处理框架有着至关重要的意义。Image I/O库是被 iOS、MacOS、WatchOS 和 TVOS 所共有的多媒体库，因此谷歌曝光的这一缺陷，几乎影响苹果的每一个主要平台。

当通过文本、电子邮件或其他方式收到图像文件时，该图像将被传递到 OS 库，在该库中对其进行解析以确定它是什么。由于不需要用户交互才能隐藏图像中的代码来运行这些缺陷，因此受到了黑客的追捧（因此 Google Project Zero 在苹果解决该缺陷之前就没有公开该缺陷）。

谷歌 Project Zero 对此补充道，他们分析了 Image I/O 的「模糊处理」过程，以观察该框架是如何响应错误的图像文件格式的。之所以选择这种方式，是因为苹果限制了对该工具大部分源代码的访问。

经过研究，谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞，后者正是苹果向第三方公开的「高动态范围（HDR）图像文件格式」框架。

鉴于这是一种基于多媒体攻击的另一种流行途径，谷歌 Project Zero 团队建议苹果在操作系统库和 Messenger 应用中实施连续的「模糊测试」和「减少受攻击面」，后者包括以安全性的名义而减少对某些文件格式的兼容政策。

据悉，苹果已经在 1 月和 4 月推出的安全补丁中，修复了与 Image I/O 有关的六个漏洞。

谷歌 Project Zero 计划

Project Zero 是 Google 公司于 2014 年 7 月 15 日所公开的一个信息安全团队，此团队专责找出各种软件的安全漏洞，特别是零日漏洞。此团队的领导者为曾任 Google Chrome 安全小组的克里斯·伊凡斯（Chris Evans）。

该团队找出安全漏洞之后，会即时通知受影响软件的开发者，在开发者还没修补此漏洞前，不会对外公布。但 90 天之后，无论原开发者是否已修复漏洞，都会自动公开。

对此，谷歌官方表示：“我们的目的是为了大幅减少有针对性的网络攻击。我们会聘请最好的、有想法且具备实践能力的安全研究人员来改善整个互联网的安全，并为之付出其 100% 的时间与精力。

这篇关于谷歌安全团队爆苹果 Image I/O 存重大漏洞，或可影响所有苹果设备的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！