週二的時候,谷歌公佈其在蘋果公司的影象 I/O 中發現了當前已被修復的一些 bug 。
對於該公司的平臺來說,Image I/O 對其多媒體處理框架有著至關重要的意義。
據悉,Image I/O 隨 iOS、macOS、watchOS 和 tvOS 一起嚮應用開發者提供。因此谷歌曝光的這一缺陷,幾乎影響蘋果的每一個主要平臺。
谷歌 Project Zero 補充道,他們分析了 Image I/O 的“模糊處理”過程,以觀察該框架是如何響應錯誤的影象檔案格式的。之所以選擇這項技術,是因為蘋果限制了對該工具大部分原始碼的訪問。
結果是,谷歌研究人員成功地找到了 Image I/O 中的六個漏洞、以及 OpenEXR 中的另外八個漏洞,後者正是蘋果向第三方公開的“高動態範圍(HDR)影象檔案格式”的框架。
鑑於這是一種基於多媒體攻擊的另一種流行途徑,其建議蘋果在作業系統庫和 Messenger 應用中實施連續的“模糊測試”和“減少受攻擊面”,後者包括以安全性的名義而減少對某些檔案格式的相容政策。
最後需要指出的是,蘋果已經在 1 月和 4 月推出的安全補丁中,修復了與 Image I/O 有關的六個漏洞。
週二的時候,谷歌公佈其在蘋果公司的影象 I/O 中發現了當前已被修復的一些 bug 。
對於該公司的平臺來說,Image I/O 對其多媒體處理框架有著至關重要的意義。
據悉,Image I/O 隨 iOS、macOS、watchOS 和 tvOS 一起嚮應用開發者提供。因此谷歌曝光的這一缺陷,幾乎影響蘋果的每一個主要平臺。
谷歌 Project Zero 補充道,他們分析了 Image I/O 的“模糊處理”過程,以觀察該框架是如何響應錯誤的影象檔案格式的。之所以選擇這項技術,是因為蘋果限制了對該工具大部分原始碼的訪問。
結果是,谷歌研究人員成功地找到了 Image I/O 中的六個漏洞、以及 OpenEXR 中的另外八個漏洞,後者正是蘋果向第三方公開的“高動態範圍(HDR)影象檔案格式”的框架。
鑑於這是一種基於多媒體攻擊的另一種流行途徑,其建議蘋果在作業系統庫和 Messenger 應用中實施連續的“模糊測試”和“減少受攻擊面”,後者包括以安全性的名義而減少對某些檔案格式的相容政策。
最後需要指出的是,蘋果已經在 1 月和 4 月推出的安全補丁中,修復了與 Image I/O 有關的六個漏洞。