由于微軟操作系統(tǒng)在處理 HEVC 文件方式上存在漏洞,那些使用 Windows 設備的 iPhone 用戶在瀏覽和編輯視頻文件的時候存在被黑客遠程攻擊的風險。該漏洞于上周被發(fā)現(xiàn),存在于微軟的 Windows Codecs Library 中,能接管未修復的設備并執(zhí)行遠程代碼。美國網絡安全和基礎設施安全局已于上周五將威脅標記為“威脅”。
與大多數遠程攻擊媒介一樣,用戶通過打開特殊設計的有效負載(在本例中為 HEVC 圖像文件)來觸發(fā)任意代碼執(zhí)行。Windows 對編解碼器的處理不當,觸發(fā)了似乎是內存溢出的錯誤,從而導致系統(tǒng)被入侵并可能進行遠程接管。
正如外媒 PC World 所指出的,iPhone 用戶特別容易受到這個 Windows 漏洞的影響,尤其是當前手機版本嚴重依賴 HEVC 進行視頻錄制。自 iPhone 7以來,Apple就提供了該編解碼器,并已成為iOS 11的標準高分辨率視頻文件格式。
此外,長期使用 iPhone 的用戶可能習慣于接收 HEVC 視頻附件或在線查看文件格式,而從微軟商城手動下載HEVC或“來自設備制造商的HEVC”編解碼器的用戶也容易受到攻擊。
微軟上周發(fā)布了該漏洞的補丁。 1.0.32762.0、1.0.32763.0和更高版本被認為可以安全使用,用戶可以從公司的在線商店下載。
