前币安首席执行官赵长鹏(CZ)警告加密社区,针对搭载 Intel 芯片的 Mac 用户的新漏洞可能会暴露用户的数字资产。
赵在 11 月 19 日强调了这一零日漏洞,敦促搭载 Intel 的 Mac 用户修补系统,以防止成为持续漏洞的受害者。这些漏洞同样影响 iPhone 和 iPad,已在 Mac 系统上被积极利用,促使苹果发布紧急修复。
「如果您使用的是搭载 Intel 芯片的 MacBook,请尽快更新!」赵警告加密社区,提醒他们注意敏感数据的潜在风险。
零日漏洞是黑客在修补程序可用之前发现和利用的错误。因此这个名字,因为开发者有「零天」的时间来解决问题,让用户在安装更新之前处于脆弱状态。
根据苹果的事后分析,这些漏洞被追踪为 CVE-2024-44308 和 CVE-2024-44309,影响 macOS Sequoia 的 JavaScriptCore 和 WebKit 组件。黑客可以利用这一点执行「跨站脚本攻击」,并悄悄运行恶意代码。
跨站脚本攻击是一种安全漏洞,攻击者将恶意脚本注入受信任的网站或应用程式中。这些脚本在访问被攻击网站的用户浏览器中运行,使攻击者能够劫持用户会话、将用户重定向到恶意网站并窃取敏感信息。
您可能还会喜欢:Thala 协议在 2550 万美元的漏洞后恢复运作
加密黑客长期以来一直在 Mac 和 Windows 系统中利用类似的漏洞来窃取钱包凭据、执行网络钓鱼诈骗或注入恶意软体来窃取私钥和数字资产。
这家科技巨头报告了其中一个漏洞是 cookie 管理问题,该问题已通过「改进状态管理」得到解决。同时,另一个问题则通过「改进检查」得到解决,报告补充道。
这些漏洞最初是由谷歌的威胁分析小组的研究人员发现的,该小组以调查政府支持的网络攻击而闻名。因此,关于国家支持的行为者潜在参与的推测已经出现。
苹果尚未披露任何有关损害程度的具体细节,除了这些漏洞已被「积极利用」的事实。
苹果用户面临风险
尽管苹果公司在安全性方面有著强大的声誉,苹果用户在今年已经多次面临风险。11 月 12 日,北韩黑客针对 macOS 用户发动了以加密为中心的恶意软体攻击,该软体能够绕过苹果在过时系统上的安全措施。
在 4 月,web3 钱包提供商 Trust Wallet 发出警告,称苹果的 iMessage 框架中存在另一个零日漏洞,这使得攻击者在没有任何用户互动的情况下入侵 iPhone。
一个月前,研究人员发现苹果 M 系列芯片中的一个缺陷,该缺陷可以被利用来提取居住在 CPU 快取中的加密密钥,使敏感数据易受侵犯。
此外,攻击者已经多次成功入侵 App Store,尽管苹果的政策严格,仍然推广冒充知名加密交易所、钱包及其他诈骗平台的恶意应用程式,这些平台会窃取用户的加密资产。
阅读更多:Tapioca 基金会在 470 万美元的漏洞事件后向攻击者提供 100 万美元的悬赏
