Apple Insider 报道称,苹果刚刚为 macOS Big Sur 11.4 修复了一个零日漏洞。 早前的概念验证表明,攻击者可通过劫持现有应用程序的权限,来秘密截取屏幕画面或录制视频。 率先曝光此事的 Jamf 安全研究职员称:为控制应用程序能够访问哪些系统功能,苹果特地在 macOS 中实施了“透明许可与控制”框架,但该零日漏洞还是为此类攻击敞开了大门。
更糟糕的是,Jamf 指出,该漏洞似乎已在野外被积极利用。他们在研究名为 XCSSET 的 Mac 恶意软件时发现了该缺陷,可知 XCSSET 是通过受感染的 Xcode 项目而让 macOS 开发者躺枪的。
在利用该漏洞劫持了其它应用程序的权限之后,恶意软件将使得攻击者达成很多目的,比如挂接到具有视频录制权限的 Zoom 云视频会议软件中。然而只有在利用该漏洞进行屏幕截图的时候,它才会被用户所察觉。
庆幸的是,苹果已于本周一发布了针对 macOS Big Sur 11.4 的这一漏洞补丁。与此同时,macOS Mojave 和 Catalina 也迎来了两个安全更新。
苹果在致《福布斯》的一份声明中夸大,该漏洞仅影响通过 Mac 官方应用商店之外的渠道来下载应用程序的用户。
早些时候,苹果软件工程主管 Craig Federighi还在 Epic 诉 App Store 案件的证词中表示 —— 与 iOS 移动设备相比,Mac 平台上的恶意软件状况是难以让人接受的。
