蘋果修補macOS的HM Surf漏洞,目前已有嘗試利用的跡象
蘋果在macOS Sequoia 15修補Transparency, Consent, and Control(TCC)漏洞CVE-2024-44133,通報這個問題的微軟公布漏洞細節,並指出已偵測到嘗試利用漏洞的跡象。
今年9月蘋果發布電腦作業系統大改版macOS Sequoia 15,當中修補中度風險漏洞CVE-2024-44133,這項漏洞影響由行動裝置管理平臺(MDM)控管的裝置,應用程式有可能藉由漏洞繞過特定的隱私權組態,CVSS風險評為5.5分,通報此事的微軟近日公布相關細節,並指出他們偵測到疑似漏洞利用的情況。
微軟威脅情報中心指出,這項漏洞有機會讓攻擊者繞過macOS的Transparency, Consent, and Control(TCC)保護機制,進行在未經授權的情況下,存取受到保護的使用者資料。研究人員將這項漏洞稱為HM Surf,並指出該漏洞涉及移除Safari瀏覽器程式資料夾的TCC防護,以及更動特定資料夾的組態檔案,使得攻擊者有機會存取使用者資料,包含瀏覽過的網頁、裝置的視訊鏡頭、麥克風、地理位置。
對於這項漏洞發生的原因,他們提到Safari被作業系統賦予一種名為com.apple.private.tcc.allow的權限,而能夠繞過作業系統的TCC檢查,自由存取通訊錄、相機、麥克風等,但在預設情況下,此瀏覽器還是透過自己的TCC機制,管控、徵求每個網頁的存取權限。
【資安新聞-iThome】
蘋果修補macOS的HM Surf漏洞,目前已有嘗試利用的跡象
詳細資訊請參考:https://www.ithome.com.tw/news/165640
沒有留言:
張貼留言