Apple Insider 報道稱,蘋果剛剛為 macOS Big Sur 11.4 修復了一個零日漏洞。早前的概念驗證表明,攻擊者可通過劫持現有應用程序的權限,來秘密截取屏幕畫面或錄製視頻。率先曝光此事的 Jamf 安全研究人員稱:為控制應用程序能夠訪問哪些系統功能,蘋果特地在 macOS 中實施了“透明許可與控制”框架,但該零日漏洞還是為此類攻擊敞開了大門。
更糟糕的是,Jamf 指出,該漏洞似乎已在野外被積極利用。他們在研究名為 XCSSET 的 Mac 惡意軟件時發現了該缺陷,可知 XCSSET 是通過受感染的 Xcode 項目而讓 macOS 開發者躺槍的。
在利用該漏洞劫持了其它應用程序的權限之後,惡意軟件將使得攻擊者達成許多目的,比如掛接到具有視頻錄製權限的 Zoom 雲視頻會議軟件中。然而只有在利用該漏洞進行屏幕截圖的時候,它才會被用戶所察覺。
慶幸的是,蘋果已於本周一發布了針對 macOS Big Sur 11.4 的這一漏洞補丁。與此同時,macOS Mojave 和 Catalina 也迎來了兩個安全更新。
蘋果在致《福布斯》的一份聲明中強調,該漏洞僅影響通過 Mac 官方應用商店之外的渠道來下載應用程序的用戶。
早些時候,蘋果軟件工程主管 Craig Federighi)還在 Epic 訴 App Store 案件的證詞中表示 —— 與 iOS 移動設備相比,Mac 平台上的惡意軟件狀況是難以讓人接受的。