macOS 日歷漏洞被披露 可零點(diǎn)擊竊取 iCloud 數(shù)據(jù)
2024-09-14 10:20:20 |
弘樂 |
1417
9月14日,科技媒體發(fā)布博文,報(bào)道存在于 macOS 系統(tǒng)的漏洞,攻擊者利用該漏洞僅需發(fā)出 1 個(gè)日歷邀請(qǐng),就能完全訪問用戶的 iCloud 賬戶,蘋果公司目前已經(jīng)修復(fù)。蘋果自 2022 年 10 月至 2023 年 9 月間通過多次更新已經(jīng)修復(fù)了該漏洞。這些修復(fù)措施包括加強(qiáng)日歷應(yīng)用內(nèi)的文件權(quán)限管理,并增設(shè)多重安全防護(hù)層以阻斷目錄遍歷攻擊。
安全研究員 Mikko Kenttala 于昨日在 Medium 平臺(tái)發(fā)帖,詳細(xì)披露了存在于 macOS 日歷應(yīng)用中的零點(diǎn)擊漏洞,攻擊者利用該漏洞可在日歷沙盒環(huán)境中添加或刪除文件。攻擊者還能利用該漏洞執(zhí)行惡意代碼,訪問包括 iCloud 照片在內(nèi)受害者設(shè)備上存儲(chǔ)的敏感數(shù)據(jù)。該漏洞追蹤編號(hào)為 CVE-2022-46723,攻擊者發(fā)送一個(gè)名為“FILENAME=../../../malicious_file.txt”的文件,可以將文件置于預(yù)期目錄之外,存放在用戶文件系統(tǒng)中更為危險(xiǎn)的位置。
攻擊者可以利用任意文件寫入漏洞進(jìn)一步升級(jí)攻擊。他們可以注入惡意日歷文件,這些文件設(shè)計(jì)為在 macOS 升級(jí)時(shí)執(zhí)行代碼,尤其是在從 Monterey 升級(jí)到 Ventura 的過程中。
特別提醒:本網(wǎng)信息來自于互聯(lián)網(wǎng),目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字、圖片等內(nèi)容的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)發(fā)送相關(guān)信息至bireading@163.com,本站將會(huì)在48小時(shí)內(nèi)處理完畢。
