谷歌安全團隊曝蘋果 Image I/O 存重大漏洞，或可影響全部蘋果設備

技術編輯：徐九丨發自 立夏了
SegmentFault 思否報道丨公衆號：SegmentFault

---

近日，谷歌宣佈其在蘋果公司的 Image I/O 中發現了安全漏洞。在蘋果官方聲稱這對用戶沒有風險且安全漏洞已獲得修補後，谷歌旗下 Project Zero 團隊概述了該漏洞的諸多細節。根據爆料顯示，若該漏洞被別有用心者利用，或致使用戶遭遇「零點擊」攻擊。

Image I/O 漏洞，或可影響全部蘋果設備

對於蘋果公司來講，Image I/O 對其多媒體處理框架有着相當重要的意義。Image I/O庫是被 iOS、MacOS、WatchOS 和 TVOS 所共有的多媒體庫，所以谷歌曝光的這一缺陷，幾乎影響蘋果的每個主要平臺。

當經過文本、電子郵件或其餘方式收到圖像文件時，該圖像將被傳遞到 OS 庫，在該庫中對其進行解析以肯定它是什麼。因爲不須要用戶交互才能隱藏圖像中的代碼來運行這些缺陷，所以受到了黑客的追捧（所以 Google Project Zero 在蘋果解決該缺陷以前就沒有公開該缺陷）。

谷歌 Project Zero 對此補充道，他們分析了 Image I/O 的「模糊處理」過程，以觀察該框架是如何響應錯誤的圖像文件格式的。之因此選擇這種方式，是由於蘋果限制了對該工具大部分源代碼的訪問。

通過研究，谷歌研究人員成功地找到了 Image I/O 中的六個漏洞、以及 OpenEXR 中的另外八個漏洞，後者正是蘋果向第三方公開的「高動態範圍（HDR）圖像文件格式」框架。

鑑於這是一種基於多媒體攻擊的另外一種流行途徑，谷歌 Project Zero 團隊建議蘋果在操做系統庫和 Messenger 應用中實施連續的「模糊測試」和「減小受攻擊面」，後者包括以安全性的名義而減小對某些文件格式的兼容政策。

據悉，蘋果已經在 1 月和 4 月推出的安全補丁中，修復了與 Image I/O 有關的六個漏洞。

谷歌 Project Zero 計劃

Project Zero 是 Google 公司於 2014 年 7 月 15 日所公開的一個信息安全團隊，此團隊專責找出各類軟件的安全漏洞，特別是零日漏洞。此團隊的領導者爲曾任 Google Chrome 安全小組的克里斯·伊凡斯（Chris Evans）。

該團隊找出安全漏洞以後，會即時通知受影響軟件的開發者，在開發者還沒修補此漏洞前，不會對外公佈。但 90 天以後，不管原開發者是否已修復漏洞，都會自動公開。

對此，谷歌官方表示：

「咱們的目的是爲了大幅減小有針對性的網絡攻擊。咱們會聘請最好的、有想法且具有實踐能力的安全研究人員來改善整個互聯網的安全，併爲之付出其 100% 的時間與精力。