IT 之家 2 月 23 日消息,網絡安全公司 Bitdefender 近日發布博文,詳細披露了 iOS " 快捷指令 " 應用中的高危漏洞,蘋果已經于 iOS 17.3 更新中修複了該漏洞。
該漏洞追蹤編号爲 CVE-2024-23204,CVSS 評分定爲 7.5 分(滿分爲 10 分),主要利用 "Expand URL" 功能繞過蘋果的 TCC 權限系統,将照片、聯系人、文件或剪貼闆數據等 base64 編碼數據傳送到網站。攻擊者端的 Flask 程序會捕獲并存儲傳輸的數據,以便進行潛在利用。
TCC 的英文是 Transparency, Consent, and Control,本質上說不是 " 權限 ",而是在原來的傳統操作系統的用戶權限之外,爲了保護特定涉及用戶個人隐私的信息,提供的訪問控制的一層安全機制,也就是熟知的隐私與安全性的部分。
用戶如果點擊包含惡意内容的快捷指令,就可能将自己的敏感信息傳送給攻擊者。用戶更新 iOS 17.3、iPadOS 17.3 或 macOS Sonoma 14.3 及更高版本,以及免疫該攻擊傷害。
IT 之家附上關于該漏洞的詳細披露原文,感興趣的用戶可以深入閱讀。
