週二的時候，谷歌公佈其在蘋果公司的圖像I/O中發現了當前已被修復的一些bug 。對於該公司的平台來說，Image I/O對其多媒體處理框架有著至關重要的意義。ZDNet報導稱，谷歌旗下Project Zero團隊在周二概述了該漏洞的諸多細節。若被別有用心者利用，或導致用戶遭遇“零點擊”攻擊。

資料圖（來自：Apple）

據悉，Image I/O隨iOS、macOS、watchOS和tvOS一起向應用開發者提供。因此谷歌曝光的這一缺陷，幾乎影響蘋果的每一個主要平台。

問題可追溯到圍繞圖像格式解析器的一些老生常談的問題，這些特殊的框架很適合被黑客利用。通過編造畸形的媒體文件，便可在目標系統上運行無需用戶干預的“零點擊”代碼。

谷歌Project Zero補充道，他們分析了Image I/O的“ 模糊處理 ”過程，以觀察該框架是如何響應錯誤的圖像文件格式的。之所以選擇這項技術，是因為蘋果限制了對該工具大部分源代碼的訪問。

結果是，谷歌研究人員成功地找到了Image I/O 中的六個漏洞、以及OpenEXR 中的另外八個漏洞，後者正是蘋果向第三方公開的“高動態範圍（HDR）圖像文件格式”的框架。

谷歌Project Zero 安全研究人員Samuel Groß 寫道：“經過足夠的努力，以及由於自動重啟服務而授予的利用嘗試，我們發現某些漏洞可被利用開執行’零點擊’的遠程代碼”。

鑑於這是一種基於多媒體攻擊的另一種流行途徑，其建議蘋果在操作系統庫和Messenger 應用中實施連續的“模糊測試”和“減少受攻擊面”，後者包括以安全性的名義而減少對某些文件格式的兼容政策。

最後需要指出的是，蘋果已經在1 月和4 月推出的安全補丁中，修復了與Image I/O 有關的六個漏洞。