聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

多媒体处理组件是当前任何操作系统中最危险的攻击面之一。

当提到管理多媒体文件时，所有操作系统的运作原理都一致。设备上的任何新型多媒体文件如图像、音频和视频都被自动传输到当地操作系统库中以解析文件是什么以及如何处理。

从攻击者角度来看，多媒体处理组件中的漏洞是理想的攻击面，因为在远程设备/操作系统上获得运行代码的能力之前无需用户交互。攻击者要求做的就是向设备发送恶意多媒体文件，等待文件被处理并等待利用代码触发。

在当前的互联网世界中，交换图像和视频是最常见的用户交互之一。如此，将恶意代码隐藏到通过短信、邮件或聊天信息发送的图像是在不会引发警报信号而攻击目标的容易方式之一。

出于所有这些原因，多媒体处理组件中的漏洞目前是最受欢迎的一类安全缺陷，因为它们允许静默的、零点击、无需用户交互的入侵向量。

谷歌 Image  I/O 研究

谷歌的精英漏洞捕获团队 Project Zero 发布报告称他们分析了苹果的多媒体处理组件之一后认为，对于任何需要静默攻击苹果用户的威胁行动者而言，它是具有较大吸引力的攻击面。

更具体地讲，Project Zero 团队查看了Image I/O，它是所有操作系统中构建的框架且任务是对图像文件进行解析和运作。该框架构架于iOS、macOS、tvOS和 watchOS 中，且在这些操作系统上运行的多数应用借此处理图像元数据。

Image I/O 在苹果应用操作系统中发挥着中心作用，之所以说它是一个危险的攻击面是因为它天生能够为任何攻击者启用零点击入侵向量并需要尽可能安全应对 exploit。

模糊测试结果：14个 漏洞

Project Zero 团队表示，他们使用模糊测试的方法来测试 Image I/O 如何处理恶意图像文件。

模糊测试进程向 Image I/O 中输入异常输入，以检测该框架代码中受存在发动未来攻击所需的异常和潜在入口点。

研究人员表示，他们从 Image I/O 中发现了6个漏洞，并从Image I/O 第三方组件 EXR 图像文件开源库 OpenEXR 中发现了8个漏洞。

谷歌表示，虽然上述漏洞及他们开发的 POC 均无法用于接管设备，但他们并未深入研究，因为这并非他们的研究目的。研究员Samuel Groß 指出，“鉴于足够努力和自动重启服务给予的 exploit 尝试，其中某些漏洞可能被用于在零年级攻击场景中执行远程代码。”研究团队指出，目前这些漏洞均已修复。其中6个 Image I/O 问题在1月和4月获得安全更新，而 OpenEXR 漏洞在 v2.4.1 版本中修复。

需更多深入研究

不过，Groß 表示，研究团队的研究成果应该只是开始，应当更加深入地研究 Image I/O 与苹果余下的图像和多媒体处理组件，它们都是为苹果用户和设备开发潜在零点击攻击的具有影响力的点击攻击面。

Groß 指出，苹果应该最先深入研究的是继续对 Image I/O进行模糊测试，因为他们开展的模糊测试由于缺乏对框架源代码的可见性和访问，因此可能是不完整的。他表示，“在任何情况下，完整的模糊测试总是具有访问源代码权限的维护人员开展得最好。”

从长远角度看，苹果还应当努力加强其它多媒体处理组件的安全性，如谷歌和 Mozilla 对安卓和火狐分别进行的加固措施那样。例如，Stagefright 漏洞现身后，谷歌将 MediaServer 组件分解成更小的受不同访问权限保护的库，使得攻击者难以完全攻陷设备。同样，当 Mozilla 开始在火狐浏览器中集成 Rust 代码时，首先重写的组件是其多媒体处理栈，这表明了该组件对火狐整体安全模型的重要性。

随着全球范围内间谍软件和监控软件供应商数量的增长，其中很多公司都在寻求破解苹果系统的方式，而且从目前来看，多媒体处理库是最容易的破解方式之一。然而，这种破解方式不该如此简单。

推荐阅读

某 iOS 零点击 0day 漏洞已存在8年之久且正遭利用？苹果称正在调查并将推出补丁

我一口气发现7个Safari  0day，苹果奖了7.5万美元

原文链接

https://www.zdnet.com/article/google-discloses-zero-click-bugs-impacting-several-apple-operating-systems/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ，加油鸭~