macOS中的漏洞引起CZ的注意
苹果已发布一个关键修补程序,解决了黑客针对基于Intel的Mac计算机积极利用的两个零日漏洞。
⚠️ 紧急警报!
苹果确认针对基于Intel的macOS系统的积极零日漏洞。您的数据可能面临风险——立即更新!#zerodayflaws #AppleSecurity #macosupdate #cybersecurityalert #VPNRanks #TechNewsUpdate pic.twitter.com/nb75wLCPo4
— VPNRanks (@VPNRanks) 2024年11月20日
根据苹果11月19日的公告,这些缺陷涉及恶意构造的网页内容的处理,对用户构成重大风险。
更新的紧迫性引起了币安联合创始人及前CEO赵长鹏(CZ)的注意,他敦促用户立即行动,更新系统以减少潜在的暴露。
如果您使用基于Intel的Macbook,请尽快更新!
保持安全!https://t.co/mk2Jsicnte
— CZ 🔶 BNB (@cz_binance) 2024年11月20日
他后来在X(前称Twitter)上指出,更新手机是一个重要的安全修复。
也请更新您的iPhone。重要的安全修复。https://t.co/rPKZzp41Ut https://t.co/29s0Wsj8cQ
— CZ 🔶 BNB (@cz_binance) 2024年11月21日
苹果急忙修复漏洞,详情仍然稀少
苹果已确认并修补了两个在野外积极利用的关键漏洞,标记为CVE-2024-44308和CVE-2024-44309。
第一个缺陷发现在JavaScriptCore中,允许在未经用户同意的情况下执行恶意代码。
苹果通过实施改进的验证检查来解决此问题。
第二个漏洞根植于WebKit浏览器引擎,启用了跨站脚本攻击,允许黑客将恶意代码注入网站或应用程序。
苹果刚修复了两个0天漏洞,分别在JavaScript和WebKit中。
设定 > 一般 > 软件更新,以检查您是否有修补程序。
一个是跨站脚本攻击(“给恶意内容一个受信任的URL”)。另一个是远程代码执行(“秘密运行恶意软件”) pic.twitter.com/905S0aDtCG
— Paul Ducklin (@duckblog) 2024年11月19日
苹果将此缺陷归因于一个cookie管理问题,并通过增强状态管理来解决。
按照标准做法,苹果在彻底调查完成和修补程序部署之前,未公开披露这些漏洞。
这些零日漏洞——因为开发者在被利用之前几乎没有时间回应——突显了网络安全的持续挑战。
详情仍然有限,没有关于攻击者、受影响用户或攻击成功率的确认信息。
苹果最近刚受到攻击
谷歌安全研究人员Clément Lecigne和Benoît Sevens,来自威胁分析小组,被认为是发现苹果系统中漏洞的人。
这个团体以对抗政府支持的网络攻击而闻名,这引发了对于此次最新漏洞来源可能是敌对于科技巨头的国家行为者的怀疑。
本月早些时候,北韩被指控针对苹果用户,研究人员发现了一个针对macOS用户的新恶意软件攻击。
该攻击使用了网络钓鱼电子邮件、假PDF应用程序和复杂的方法来绕过苹果的安全措施。
值得注意的是,这是首次使用此技术破坏macOS,尽管无法影响最新系统。
在一次相关事件中,北韩黑客也被发现于10月利用谷歌Chrome中的漏洞窃取加密货币钱包凭证。
