聲明：該文章由作者（王祥明）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

Apple Insider 報道稱，蘋果剛剛為 macOS Big Sur 11.4 修復(fù)了一個零日漏洞。早前的概念驗證表明，攻擊者可通過劫持現(xiàn)有應(yīng)用程序的權(quán)限，來秘密截取屏幕畫面或錄制視頻。率先曝光此事的 Jamf 安全研究人員稱：為控制應(yīng)用程序能夠訪問哪些系統(tǒng)功能，蘋果特地在 macOS 中實施了“透明許可與控制”框架，但該零日漏洞還是為此類攻擊敞開了大門。

更糟糕的是，Jamf 指出，該漏洞似乎已在野外被積極利用。他們在研究名為 XCSSET 的 Mac 惡意軟件時發(fā)現(xiàn)了該缺陷，可知 XCSSET 是通過受感染的 Xcode 項目而讓 macOS 開發(fā)者躺槍的。

在利用該漏洞劫持了其它應(yīng)用程序的權(quán)限之后，惡意軟件將使得攻擊者達(dá)成許多目的，比如掛接到具有視頻錄制權(quán)限的 Zoom 云視頻會議軟件中。然而只有在利用該漏洞進(jìn)行屏幕截圖的時候，它才會被用戶所察覺。

慶幸的是，蘋果已于本周一發(fā)布了針對 macOS Big Sur 11.4 的這一漏洞補(bǔ)丁。與此同時，macOS Mojave 和 Catalina 也迎來了兩個安全更新。

蘋果在致《福布斯》的一份聲明中強(qiáng)調(diào)，該漏洞僅影響通過 Mac 官方應(yīng)用商店之外的渠道來下載應(yīng)用程序的用戶。

早些時候，蘋果軟件工程主管 Craig Federighi）還在 Epic 訴 App Store 案件的證詞中表示 —— 與 iOS 移動設(shè)備相比，Mac 平臺上的惡意軟件狀況是難以讓人接受的。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/