IT 之家 9 月 14 日消息,科技媒體 AppleInsider 昨日(9 月 13 日)發布博文,報道存在于 macOS 系統的漏洞,攻擊者利用該漏洞僅需發出 1 個日曆邀請,就能完全訪問用戶的 iCloud 賬戶,蘋果公司目前已經修複。
蘋果自 2022 年 10 月至 2023 年 9 月間通過多次更新已經修複了該漏洞。這些修複措施包括加強日曆應用内的文件權限管理,并增設多重安全防護層以阻斷目錄遍曆攻擊。
安全研究員 Mikko Kenttala 于昨日在 Medium 平台發帖,詳細披露了存在于 macOS 日曆應用中的零點擊漏洞,攻擊者利用該漏洞可在日曆沙盒環境中添加或删除文件。
攻擊者還能利用該漏洞執行惡意代碼,訪問包括 iCloud 照片在内受害者設備上存儲的敏感數據。
IT 之家從報道中獲悉,該漏洞追蹤編号爲 CVE-2022-46723,攻擊者發送一個名爲 "FILENAME=../../../malicious_file.txt" 的文件,可以将文件置于預期目錄之外,存放在用戶文件系統中更爲危險的位置。
攻擊者可以利用任意文件寫入漏洞進一步升級攻擊。他們可以注入惡意日曆文件,這些文件設計爲在 macOS 升級時執行代碼,尤其是在從 Monterey 升級到 Ventura 的過程中。
