今天小編分享的科技經驗:iOS 17.3 已修復,“快捷指令”高危漏洞被披露:可發送敏感數據,歡迎閱讀。
IT 之家 2 月 23 日消息,網絡安全公司 Bitdefender 近日發布博文,詳細披露了 iOS " 快捷指令 " 應用中的高危漏洞,蘋果已經于 iOS 17.3 更新中修復了該漏洞。
該漏洞追蹤編号為 CVE-2024-23204,CVSS 評分定為 7.5 分(滿分為 10 分),主要利用 "Expand URL" 功能繞過蘋果的 TCC 權限系統,将照片、聯系人、檔案或剪貼板數據等 base64 編碼數據傳送到網站。攻擊者端的 Flask 程式會捕獲并存儲傳輸的數據,以便進行潛在利用。
TCC 的英文是 Transparency, Consent, and Control,本質上說不是 " 權限 ",而是在原來的傳統作業系統的用戶權限之外,為了保護特定涉及用戶個人隐私的信息,提供的訪問控制的一層安全機制,也就是熟知的隐私與安全性的部分。
用戶如果點擊包含惡意内容的快捷指令,就可能将自己的敏感信息傳送給攻擊者。用戶更新 iOS 17.3、iPadOS 17.3 或 macOS Sonoma 14.3 及更高版本,以及免疫該攻擊傷害。
IT 之家附上關于該漏洞的詳細披露原文,感興趣的用戶可以深入閱讀。
