蘋果修復macOS日曆漏洞:避免零點擊竊取iCloud數據

蘋果修復macOS日曆漏洞:避免零點擊竊取iCloud數據

近日,科技媒體AppleInsider發布重要安全報道,揭示了先前存在於macOS系統中的一項嚴重漏洞,該漏洞允許攻擊者僅透過發送一個日曆邀請,就能實現對用戶iCloud帳戶的完全存取。幸運的是,蘋果已經透過多次系統更新成功修復了這項安全威脅。

根據安全研究員Mikko Kenttala在Medium平台上的詳細披露,這一被稱為「零點擊」的漏洞存在於macOS的日曆應用中,攻擊者能夠利用該漏洞在日曆應用的沙盒環境中添加或刪除文件,甚至執行惡意程式碼,直接存取用戶的iCloud照片等敏感資料。這項發現引起了業界的廣泛關注,因為它極大地降低了攻擊門檻,使得用戶在不進行任何操作的情況下就可能遭受資料外洩的風險。

此漏洞的追蹤編號為CVE-2022-46723,攻擊者透過發送包含特殊建構檔名(如「FILENAME=../../../malicious_file.txt」)的日曆邀請,能夠將惡意檔案放置在使用者檔案系統的危險位置,繞過正常的安全限制。更令人擔憂的是,攻擊者還能利用這個漏洞在macOS系統升級過程中註入惡意程式碼,尤其是從Monterey版本升級到Ventura版本的過程中,進一步擴大了攻擊範圍。

面對這項嚴峻的安全挑戰,蘋果公司迅速回應,自2022年10月至2023年9月期間,透過多次系統更新加強了對日曆應用的文件權限管理,並增設了多重安全防護層,有效阻斷了目錄遍歷攻擊等潛在威脅。這些更新不僅修復了已知的漏洞,也提升了系統的整體安全性,為使用者的資料安全保駕護航。

這次macOS日曆漏洞的及時修復,再次體現了蘋果對用戶資料安全的重視與承諾。隨著網路安全威脅日益複雜多變,使用者也應保持警惕,及時更新系統以享受最新的安全防護措施。同時,對於來自不明來源的日曆邀請或文件,使用者應保持謹慎態度,避免隨意打開或接受,以防落入攻擊者的陷阱。

本內容來自創作者:News 上傳發布,不代表本網站觀點與立場。转载,请注明出处:https://news.kejixun.com/23624.html

讚! (0)
News的頭像News投稿者
Previous 2024 年 9 月 14 日
Next 2024 年 9 月 14 日

相关推荐

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

SHARE
TOP