AppleInsiderスタッフ
· 1分で読めます
Googleは火曜日、Appleのプラットフォームに不可欠なマルチメディア処理フレームワークであるImage I/Oにいくつかのバグを発見し、すでに修正済みであることを明らかにした。
Google の Project Zero チームによって発見され、火曜日の出版物で概要が説明された Image I/O の欠陥は、ゼロクリック攻撃ベクトルの格好の候補であるとZDNetが報じている。
Image I/O は iOS、macOS、watchOS、tvOS に同梱されているため、これらの欠陥は Apple の主要プラットフォームのそれぞれに存在していたことになります。
Googleの開示情報に記載されているように、Image I/Oの問題は、画像フォーマットパーサーを取り巻く比較的よく知られた問題を想起させます。これらの特殊なフレームワークはハッカーにとって理想的な攻撃手段です。不正なマルチメディアアセットは、処理が許可されると、通常、ユーザーの介入なしに標的のシステム上でコードを実行できるためです。
Project Zeroは、「ファジング」と呼ばれるプロセスを用いてImage I/Oを調査し、フレームワークが不正な画像ファイルにどのように反応するかを検証しました。この手法が採用されたのは、Appleがツールのソースコードの大部分へのアクセスを制限しているためです。
Google の研究者は、Image I/O の 6 つの脆弱性と、Apple のフレームワークを通じて公開されているサードパーティの「ハイダイナミックレンジ (HDR) 画像ファイル形式」である OpenEXR の 8 つの脆弱性を発見することに成功した。
「十分な努力(およびサービスの自動再起動により許可された悪用の試み)があれば、発見された脆弱性のいくつかは、0クリック攻撃のシナリオで[リモートコード実行]に悪用される可能性がある」とProject Zeroのセキュリティ研究者、サミュエル・グロウ氏は書いている。
グロウ氏は、Appleに対し、オペレーティングシステムのライブラリとメッセンジャーアプリにおいて、継続的な「ファズテスト」と「積極的な攻撃対象領域の縮小」を実施することを推奨している。後者の戦術は、マルチメディアベースの攻撃のもう一つの一般的な手段である。後者の戦術は、セキュリティの名の下に、互換性のあるファイル形式を減らすことになるだろう。
報道によると、Appleは1月と4月にリリースしたセキュリティパッチで6つのImage I/Oの欠陥を修正したという。
