谷歌ProjectZero团队披露了影响所有苹果平台的零点击bug

零项目已经在苹果平台上确定了六个新项目。 根据该团队的说法,最新的漏洞影响了所有苹果设备,因为它与图像解析API、作为所有苹果操作系统(IOS)和电视操作系统一部分的图像IO框架有关。

该报告还表明,这些问题已经向苹果公司报告,该公司还在一月份推出了一个补丁。 然而,这一次,它已经影响了这些平台上流行的消息应用程序。 报告还提到,这些新代码不是消息应用程序的主要部分,因此苹果有责任解决这些问题。 Google Project Zero团队反向设计了流行的消息应用程序和应用模糊技术来检查这些代码的工作方式,并报告说这些代码不需要任何用户交互来执行目标系统上的代码。在此之后,团队识别了图像IO中的六个漏洞,以及第三方图像格式中的八个其他问题,称为第三方HDR格式。 来自零项目团队的研究人员Samuel Groß说:“很可能,如果付出足够的努力(并利用由于自动重新启动服务而授予的尝试),一些发现的漏洞可以在0click攻击场景中被用于RCE。”研究人员还建议苹果在供应商/代码维护方进行更多的输入解析器模糊测试,并允许Image IO限制允许的输入格式有助于减少开发。 除此之外,报告还建议苹果在其操作系统库中实现攻击面的大幅减少。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢