文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Apple修复了三个0 day漏洞,其中一个已经被XCSSET macOS恶意软件滥用

2024-12-03 04:05

关注

 苹果已经发布了安全更新,修补了在野外被利用的三个macOS和tvOS 0 day漏洞攻击者,前者被XCSSET恶意软件滥用,以绕过macOS隐私保护。

在这三起漏洞中,苹果公司表示,他们都知道了“可能已经被积极利用”的报道,但并未提供有关可能利用0 day漏洞的攻击或威胁行为者的详细信息。

可用于隐私绕过和代码执行

三个0 day中的两个(被追踪为CVE-2021-30663和CVE-2021-30665)影响了Apple TV 4K和Apple TV HD设备上的WebKit。

Webkit是Apple的开源浏览器引擎,其Web浏览器和应用程序使用Webkit来在其台式机和移动平台(包括iOS、macOS、tvOS和iPadOS)上显示HTML内容。

威胁参与者可以使用恶意制作的Web内容利用这两个漏洞,由于内存损坏问题,这些内容将触发未修补设备上的任意代码执行。

第三个0 day漏洞(被追踪为CVE-2021-30713)会影响macOS Big Sur设备,这是在透明度同意和控制(Transparency、Consent和Control,TCC)框架中的许可问题。

TCC框架是一个macOS子系统,可阻止已安装的应用访问敏感的用户信息,而无需通过弹出消息请求明确的权限。

攻击者可以使用恶意制作的应用程序来利用此漏洞,该应用程序可能绕过隐私首选项并访问敏感的用户数据。

XCSSET macOS恶意软件使用的0 day漏洞

尽管Apple没有提供有关如何在攻击中被滥用的三个0 day的任何详细信息,但Jamf的研究人员发现XCSSET恶意软件使用今天修补的macOS 0 day(CVE-2021-30713)来绕过Apple所设计的TCC保护,以保护用户的隐私。

基本上,在允许任何恶意软件或其他App录制屏幕,访问麦克风或网络摄影机,抑或打开用户存储之前,macOS都应该会先征求用户的许可才对。但是,该恶意软件通过将恶意程序代码注入至合法App以潜入系统中,并规避掉权限提示。

XCSSET恶意软件是最早由趋势科技在2020年发现,它专门锁定Apple开发人员,特别是他们用来编写和构建App的Xcode项目。在此次活动中,攻击者利用另外两个0 day劫持Safari Web bro并注入恶意Javascript有效payload。

趋势科技研究人员上个月发现了一个新的XCSSET变体,已更新为可用于最近发布的Apple设计的ARM Mac。

0 day漏洞在野利用时间线

今年以来,0 day漏洞越来越频繁地出现在Apple的安全公告中,其中大多数漏洞在被修补之前都被标记为已在攻击中被利用。

本月初,Apple在Webkit引擎中解决了两个iOS 0 day漏洞,利用这两个漏洞,攻击者通过访问恶意网站即可在易受攻击的设备上执行任意远程代码(RCE)。

苹果公司还一直在发布补丁程序,以解决过去几个月在野外被广泛利用的0 day漏洞,包括:4月份在macOS中修复的一个漏洞,还有许多其他iOS漏洞也在更早的几个月中被修复。

去年11月,苹果公司修补了另外三个影响iPhone、iPad和iPod设备的iOS 0 day漏洞:远程代码执行漏洞、内核内存泄漏和内核权限提升漏洞。

Shlayer恶意软件利用4月份已被修补的MacOS的0 day漏洞绕过了苹果的文件隔离、网守和公证安全检查,从而更加简单便捷地下载和安装第二阶段的恶意payload。

本文翻译自:https://www.bleepingcomputer.com/news/security/apple-fixes-three-zero-days-one-abused-by-xcsset-macos-malware/如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯