由于微軟操作系統在處理 HEVC 文件方式上存在漏洞,那些使用 Windows 設備的 iPhone 用戶在瀏覽和編輯視頻文件的時候存在被黑客遠程攻擊的風險。該漏洞于上周被發現,存在于微軟的 Windows Codecs Library 中,能接管未修復的設備并執行遠程代碼。美國網絡安全和基礎設施安全局已于上周五將威脅標記為“威脅”。
與大多數遠程攻擊媒介一樣,用戶通過打開特殊設計的有效負載(在本例中為 HEVC 圖像文件)來觸發任意代碼執行。Windows 對編解碼器的處理不當,觸發了似乎是內存溢出的錯誤,從而導致系統被入侵并可能進行遠程接管。
正如外媒 PC World 所指出的,iPhone 用戶特別容易受到這個 Windows 漏洞的影響,尤其是當前手機版本嚴重依賴 HEVC 進行視頻錄制。自 iPhone 7以來,Apple就提供了該編解碼器,并已成為iOS 11的標準高分辨率視頻文件格式。
此外,長期使用 iPhone 的用戶可能習慣于接收 HEVC 視頻附件或在線查看文件格式,而從微軟商城手動下載HEVC或“來自設備制造商的HEVC”編解碼器的用戶也容易受到攻擊。
微軟上周發布了該漏洞的補丁。 1.0.32762.0、1.0.32763.0和更高版本被認為可以安全使用,用戶可以從公司的在線商店下載。
