今天小編分享的科技經驗:macOS 日歷漏洞披露:蘋果已修復,可零點擊竊取 iCloud 數據,歡迎閲讀。
IT 之家 9 月 14 日消息,科技媒體 AppleInsider 昨日(9 月 13 日)發布博文,報道存在于 macOS 系統的漏洞,攻擊者利用該漏洞僅需發出 1 個日歷邀請,就能完全訪問用户的 iCloud 賬户,蘋果公司目前已經修復。
蘋果自 2022 年 10 月至 2023 年 9 月間通過多次更新已經修復了該漏洞。這些修復措施包括加強日歷應用内的檔案權限管理,并增設多重安全防護層以阻斷目錄遍歷攻擊。
安全研究員 Mikko Kenttala 于昨日在 Medium 平台發帖,詳細披露了存在于 macOS 日歷應用中的零點擊漏洞,攻擊者利用該漏洞可在日歷沙盒環境中添加或删除檔案。
攻擊者還能利用該漏洞執行惡意代碼,訪問包括 iCloud 照片在内受害者設備上存儲的敏感數據。
IT 之家從報道中獲悉,該漏洞追蹤編号為 CVE-2022-46723,攻擊者發送一個名為 "FILENAME=../../../malicious_file.txt" 的檔案,可以将檔案置于預期目錄之外,存放在用户檔案系統中更為危險的位置。
攻擊者可以利用任意檔案寫入漏洞進一步更新攻擊。他們可以注入惡意日歷檔案,這些檔案設計為在 macOS 更新時執行代碼,尤其是在從 Monterey 更新到 Ventura 的過程中。