首页 > 安全资讯 > 系统安全 > 正文

苹果透露:macOS 11.3修复可绕过Mac安全机制的漏洞

威锋网 乔纳森森森 2021-04-28 13:05:31

苹果今天向 TechCrunch 证实,刚刚发布的 macOS 11.3 软件更新修补了一个安全漏洞,据报道,该漏洞让黑客可以通过诱骗用户打开伪造的文档,远程访问用户的敏感数据。

根据该报告,安全研究员 Cedric Owens 在 3 月中旬发现了该漏洞,他说:“该漏洞不会生成 macOS 提示或警告。”

他开发了一款验证应用程序,伪装成无害的文档,利用该漏洞启动计算器应用程序,但他表示,该漏洞可能被用于更严重的目的。根据安全研究员 Patrick Wardle 的说法,这个漏洞是 macOS 底层代码中的逻辑错误造成的。

TechCrunch 解释说:“简单地说,macOS 应用程序不是一个单独的文件,而是应用程序运行所需的一组不同的文件,包括一个属性列表文件,它告诉应用程序它所依赖的文件位于哪里。”

“但 Owens 发现,取出这个属性文件并构建具有特定结构的捆绑包可以欺骗 macOS 打开捆绑包,并在其中运行代码,而不会触发任何警告。”

除了修复 macOS 11.3 中的漏洞外,苹果还告诉 TechCrunch,它为早期的 macOS 版本打了补丁,以防止滥用,并更新了 macOS 的内置反恶意软件系统 XProtect,以阻止恶意软件利用该漏洞。

展开更多