谷歌Project Zero团队透露苹果众多新漏洞
发布时间:2022-07-18 09:05:55 所属栏目:安全 来源:互联网
导读:Apple Mail风波才刚刚过去,谷歌又炸出了苹果一波新漏洞,这一操作是否又让苹果用户的信心碎了一地? 昨日,谷歌安全团队Project Zero披露一系列苹果的安全漏洞,涉及iPhone、iPad、Mac用户。该团队利用Fuzzing测试发现苹果基础功能Image I/O框架中的6个漏洞
|
Apple Mail风波才刚刚过去,谷歌又炸出了苹果一波新漏洞,这一操作是否又让苹果用户的信心碎了一地? 昨日,谷歌安全团队Project Zero披露一系列苹果的安全漏洞,涉及iPhone、iPad、Mac用户。该团队利用“Fuzzing”测试发现苹果基础功能Image I/O框架中的6个漏洞,OpenEXR中的8个漏洞。 随后谷歌团队向苹果报告了这些漏洞,6个Image I/O问题在1月和4月获得了安全更新,而OpenEXR则已在v2.4.1中进行了修补。在iOS13版本后都已经更新和修复,用户只需要将设备更新到最新版本即可。 说到Image I/O框架或许大家都还很陌生,简单来说就是会影响到设备图像使用的多媒体组件。当用户打开手机相册或者用微信传输图像时,这一框架就派上用场了。这意味着用户设备上的图片读写存储、社交工具中图像传输等涉及图像使用的基本都会用到这一基础框架。 Image I/O框架支持大多数常见的图像文件格式,如JPEG、JPEG2000、RAW、TIFF、BMP和PNG。当用户需要用到图片数据时,图片源是最好的方式。图片源提取了数据访问任务并且节省了通过原始缓存数据中管理数据的需要。数据源可以包含多个图片、缩略图、每张图片的属性和图片文件。 两个框架中的一系列漏洞会导致严重的用户数据泄露。再进一步而言,黑客尝试自动重启服务授权漏洞利用,存在可执行“零点击”远程代码的可能。 多媒体组件是最容易遭受黑客攻击的一个操作系统。Project Zero揭露的这一系列漏洞都是基础操作中容易遭到利用并产生严重后果的。 设备中的任何新型的多媒体文件,比如图像、音频、视频等都会自动转到本地OS库中并自动解析文件内容和处理流程。因此,攻击者一旦利用这些多媒体组件中的漏洞就可以无需用户交互地执行远程代码,进而接管设备或者开展其他恶意操作。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号