新传媒网根据一家安全研究公司分享的详细信息,Apple 修复了 iOS 16.3 和 macOS 13.2 中受支持的 iPhone、iPad 和 Mac 机型的两个主要安全漏洞。这些更新于上个月向用户推出,并附带了重要的错误修复和安全补丁。Apple 认为研究人员发现了这些漏洞,这些漏洞允许远程用户绕过 Apple 实施的保护措施,并获得对用户个人数据以及他们的摄像头、麦克风和通话记录的访问权限。
安全研究公司 Trellix在一篇博文中解释说,Apple推出了安全修复程序来阻止 NSO Group 在 2021 年使用的 ForcedEntry 安全漏洞,NSO Group是邪恶的Pegasus恶意软件的创建者。但是,该公司发现这些安全保护可以被远程绕过用户,并向 Apple 报告了这些缺陷。
据说 Apple 使用了一种名为 NSPredicateVisitor 的协议来增强其 NSPredicate 工具的安全性,开发人员使用该工具来过滤代码。诸如 ForcedEntry 之类的漏洞将能够绕过该机制来获得对用户设备的访问权限。
据这家安全公司称,攻击者可以利用该安全漏洞绕过沙箱,沙箱会阻止一个应用程序访问设备上其他应用程序的数据以及敏感信息或个人信息。这些可能包括消息、通话记录、照片、位置详细信息以及智能手机硬件,例如相机和麦克风。
但是,似乎没有证据表明这些缺陷已被恶意行为者利用。同时,根据 Trellix 的说法,已将设备更新到最新版本的 iOS 和 macOS 的用户应该受到保护,免受这些安全漏洞的影响。
Apple 还更新了iOS 16.3和macOS 13.2的发行说明,这两份文件均表明 Trellix 高级安全研究员 Austin Emmitt 在移动和桌面操作系统上发现了两个安全漏洞——CVE-2023-23530 和 CVE-2023-23531。与此同时,Trellix 感谢 Apple 与该公司迅速合作解决这两个安全漏洞。
