Google的抓虫小组Project Zero本周公布苹果产品一批和图片文件处理有关的零点击(zero-click)漏洞,可能引发远程程序代码执行(RCE)。iPhone、Mac计算机或Apple Watch等产品都会受影响。不过这些漏洞已经由苹果修补。
这项漏洞是Google Project Zero团队,在针对市面上数款知名通信App进行逆向工程时发现,App处理消息中显示小型图片文件的一段程序代码,可在苹果设备上触发零点击(zero click)攻击,进而绕过苹果的安全机制而执行程序。除了苹果的iMessage外,研究人员说,其他通信App也有这段程序代码。
虽然攻击由外部传来的消息触发,但问题是出在苹果处理及解析图片文件的函数库Image I/O上,这个函数库内置于所有苹果操作系统(包括iOS, macOS, tvOS和watchOS)中。研究团队进行模糊分析(fuzzing)后,在Image I/O发现6个漏洞。此外,他们也发现,经常与Image I/O共享的EXR图片文件开源函数库OpenEXR,存在8个漏洞。
虽然Project Zero尚未发现这些漏洞有实际或概念验证攻击程序,但研究人员Samuel Groß指出,只要再花一些工夫,这些零点击漏洞可能被用于远程程序代码攻击(RCE)。
Google很快通报了苹果及OpenEXR团队。苹果在一月和四月的安全更新,已经修补Image I/O漏洞,而OpenEXR漏洞也在2.4.1版本中修补。
但Project Zero研究人员相信,可能还有其他漏洞尚未被披露,而被用于日后发动零点击RCE攻击,因此研究人员建议,最好勤于分析媒体格式解析程序代码,并限制OS函数库(如Image I/O)或通信应用程序支持接收的图片文件格式数量,借此减少攻击面,如果能增加额外的解码防护更好。
这是苹果近日被公开的第二批零点击漏洞。上周以色列安全公司ZecOps声称发现iOS版Mail程序内,有二个重大漏洞,可让用户光收到信就会被黑入iPhone或iPad,进而偷看或删改邮件。不过苹果本周反驳指出,这批漏洞无法单独绕过设备的安全防护,因此对用户没有立即风险。