根據一家安全研究公司分享的詳細信息,Apple 修復了 iOS 16.3 和 macOS 13.2 中受支持的 iPhone、iPad 和 Mac 機型的兩個主要安全漏洞。這些更新於上個月向用戶推出,並附帶了重要的錯誤修復和安全補丁。 Apple 將發現這些缺陷歸功於研究人員,這些缺陷允許遠程用戶繞過 Apple 實施的保護措施,並獲得對用戶個人數據以及他們的攝像頭、麥克風和通話記錄的訪問權限。
安全研究公司 Trellix 在博客文章中解釋,Apple 引入了安全修復程序來阻止 NSO Group 使用的 ForcedEntry 安全漏洞,NSO Group 是邪惡的 Pegasus 惡意軟件的創建者,2021 年。但是,該公司發現遠程用戶可以繞過這些安全保護,並向 Apple 報告了這些缺陷。
Apple 據說使用了一種名為 NSPredicateVisitor 的協議來增強其 NSPredicate 工具的安全性,開發人員使用該工具來過濾代碼。諸如 ForcedEntry 之類的漏洞將能夠繞過該機制以獲取對用戶設備的訪問權限。
攻擊者可以利用該安全漏洞繞過沙箱,該沙箱阻止一個應用程序訪問設備上其他應用程序的數據,據安全公司稱,以及敏感信息或個人信息。這些可能包括消息、通話記錄、照片、位置詳細信息以及智能手機硬件,例如相機和麥克風。
但是,似乎沒有證據表明這些缺陷已被惡意行為者利用。同時,根據 Trellix 的說法,已將設備更新到最新版本的 iOS 和 macOS 的用戶應該受到保護,免受這些安全漏洞的影響。
Apple 還更新了 iOS 16.3 和 macOS 13.2,這兩份文件均歸功於 Trellix 高級安全研究員 Austin Emmitt 確定了移動和桌面操作系統上的兩個安全漏洞——CVE-2023-23530 和 CVE-2023-23531。與此同時,Trellix 感謝 Apple 與該公司迅速合作解決這兩個安全漏洞。
附屬鏈接可能會自動生成-請參閱我們的道德聲明了解詳細信息。
有關三星、小米、Realme、OnePlus、Oppo 和其他公司在巴塞羅那舉行的世界移動通信大會上的最新發布和新聞的詳細信息,訪問我們的 MWC 2023 中心。