苹果透露:macOS 11.3修复可绕过Mac安全机制的漏洞
作者:乔纳森森森
时间:2021-04-28 13:05:31
苹果今天向 TechCrunch 证实,刚刚发布的 macOS 11.3 软件更新修补了一个安全漏洞,据报道,该漏洞让黑客可以通过诱骗用户打开伪造的文档,远程访问用户的敏感数据。
根据该报告,安全研究员 Cedric Owens 在 3 月中旬发现了该漏洞,他说:“该漏洞不会生成 macOS 提示或警告。”
他开发了一款验证应用程序,伪装成无害的文档,利用该漏洞启动计算器应用程序,但他表示,该漏洞可能被用于更严重的目的。根据安全研究员 Patrick Wardle 的说法,这个漏洞是 macOS 底层代码中的逻辑错误造成的。
TechCrunch 解释说:“简单地说,macOS 应用程序不是一个单独的文件,而是应用程序运行所需的一组不同的文件,包括一个属性列表文件,它告诉应用程序它所依赖的文件位于哪里。”
“但 Owens 发现,取出这个属性文件并构建具有特定结构的捆绑包可以欺骗 macOS 打开捆绑包,并在其中运行代码,而不会触发任何警告。”
除了修复 macOS 11.3 中的漏洞外,苹果还告诉 TechCrunch,它为早期的 macOS 版本打了补丁,以防止滥用,并更新了 macOS 的内置反恶意软件系统 XProtect,以阻止恶意软件利用该漏洞。
分享:
