由于微软(Microsoft)操作系统处理HEVC档的方式中存在安全漏洞,致使使用Windows计算机来观看并编辑图片文件的苹果iPhone使用户可能会陷入远程入侵攻击的风险中。
上周在微软Windows编解码器函数库(Windows Codecs Library)发现的程序瑕疵,会被黑客用来接管未进行安全修补的主机,并在主机上执行恶意程序代码。这个安全威胁已在周五引起美国网络安全及基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)的关注。
与大多数远程攻击媒介一样,黑客会诱使用户打开某精心设计的恶意负载封包(这次攻击中采用的是HEVC图片编码档)以触发任意程序代码的执行。由于Windows对编解码器的处理不当,结果引发了会导致系统遭入侵并有可能被远程接管的内存缓冲区溢出错误。
据报道指出,iPhone用户特别容易受到利用Windows漏洞的黑客攻击,因为当代手机严重依赖HEVC进行录像。自iPhone 7以来,Apple就提供了该编解码器,并成为iOS 11操作系统上的标准高分辨率视图片档格式。在Windows PC上,HEVC已成为观看或编辑视频的必备工具。
此外,长期使用iPhone的用户早已习惯接收HEVC图片附件或在线上观看这种文件格式,这意味着它不太可能即时发出警讯。再者,凡手动下载HEVC或从微软线上商店手动下载“HEVC from Device Manufacturer”媒体编解码器的用户也很容易招致攻击。
微软上周发布了该漏洞的更新修补程序。1.0.32762.0、1.0.32763.0和更新版本被认为可以安心使用,用户可以从该公司线上商店下载更新。
(首图来源:苹果)