元Binance CEO Changpeng 'CZ' Zhaoは、インテルチップを搭載したMacユーザーを標的にした新しい悪用について暗号コミュニティに警告しました。これは、ユーザーのデジタル資産を暴露する可能性があります。
Zhaoは11月19日にゼロデイの悪用を強調し、インテルベースのMacユーザーにシステムのパッチを適用し、進行中の悪用の被害に遭わないようにするよう促しました。この脆弱性は、iPhoneやiPadにも影響を与え、Macシステムで積極的に悪用されており、Appleは緊急修正をリリースしました。
「インテルベースのチップを搭載したMacBookを使用している場合は、すぐに更新してください!」とZhaoは書き、暗号コミュニティに対して機密データに対する潜在的なリスクについて警告しました。
ゼロデイ脆弱性とは、パッチが利用可能になる前にハッカーによって発見され、悪用されるバグです。そのため、開発者には問題に対処するための「ゼロ日」があるため、ユーザーは更新がインストールされるまで脆弱な状態になります。
Appleのポストモーテムによると、CVE-2024-44308およびCVE-2024-44309として追跡される脆弱性は、macOS SequoiaのJavaScriptCoreおよびWebKitコンポーネントに影響を与えます。ハッカーはこれを利用して「クロスサイトスクリプティング攻撃」を実行し、悪意のあるコードを密かに実行できます。
クロスサイトスクリプティング攻撃は、攻撃者が信頼されたウェブサイトやアプリケーションに悪意のあるスクリプトを注入するタイプのセキュリティ脆弱性です。これらのスクリプトは、妥協されたサイトを訪れるユーザーのブラウザで実行され、攻撃者がユーザーセッションを奪取したり、ユーザーを悪意のあるサイトにリダイレクトしたり、機密情報を盗んだりすることを可能にします。
あなたも好きかもしれません: Thalaプロトコルが$25.5mの悪用後に運用を再開
暗号ハッカーは、MacとWindowsの両システムで同様の脆弱性を長い間悪用して、ウォレットの認証情報を盗んだり、フィッシング詐欺を実行したり、プライベートキーやデジタル資産を吸い取るためにマルウェアを注入したりしています。
このテクノロジー巨人は、脆弱性の1つをクッキー管理の問題として報告し、その後「改善された状態管理」で解決されたとしています。同時に、もう1つは「改善されたチェック」で対処されたと報告書は付け加えました。
脆弱性は、政府が支援するサイバー攻撃を調査することで知られるGoogleの脅威分析グループの研究者によって最初に発見されました。このため、国家支援の関係者の潜在的な関与についての憶測が浮上しています。
Appleは、脆弱性が「積極的に悪用されている」という事実を除いて、被害の範囲に関する詳細を公開していません。
Appleユーザーは危険にさらされています
Appleユーザーは、同社の強力なセキュリティの評判にもかかわらず、今年だけでも何度か危険にさらされています。11月12日、北朝鮮のハッカーが古いシステム上でAppleのセキュリティ対策を回避できる暗号に焦点を当てたマルウェアでmacOSユーザーを標的にしました。
4月、web3ウォレットプロバイダーのTrust Walletは、ユーザーの操作なしでiPhoneに侵入できるAppleのiMessageフレームワークの別のゼロデイの悪用について警告を発しました。
1ヶ月前、研究者はAppleのMシリーズチップの欠陥を発見しました。この欠陥を悪用すると、CPUのキャッシュに存在する暗号鍵を抽出でき、機密データが危険にさらされる可能性があります。
さらに、攻撃者はAppleの厳しいポリシーにもかかわらず、何度もApp Storeに侵入し、有名な暗号交換所やウォレット、その他の詐欺的なプラットフォームを偽装した悪意のあるアプリを宣伝することに成功しています。これらはユーザーの暗号資産を吸い取ります。
詳細を読む: Tapioca Foundationが$4.7mの悪用後に攻撃者に$1mの報酬を提供