该公司在周一确认,其设备受到一个缺陷的影响,该缺陷使得通过基于网页的JavaScript远程执行恶意代码成为可能。这一漏洞打开了一个攻击向量,可能导致无辜用户的加密相关数据被窃取。
根据苹果最新的安全披露,使用者必须将其JavaScriptCore和WebKit软体更新至最新版本以修补此问题。这一漏洞由谷歌威胁分析小组的研究人员发现,允许“处理恶意构造的网页内容”,导致“跨网站脚本攻击”。令人担忧的是,苹果也承认此问题“可能已在基于Intel的Mac系统上被积极利用”。
苹果对iPhone和iPad用户发布了类似的安全披露,指出JavaScriptCore的缺陷使得“处理恶意构造的网页内容成为可能,这可能导致任意代码执行。”换句话说,如果用户访问恶意网站,黑客可能会控制用户的iPhone或iPad。苹果向用户保证,更新应能解决此问题。
加密网络安全公司Trugard的首席技术官和联合创始人杰里米·奥康纳警告说,“攻击者可能获得对浏览器中存储的敏感数据如私钥或密码的访问权限”,如果使用者的设备保持未修补,则可能窃取加密资产。
在三月早些时候,报导出现,安全研究人员发现苹果上一代芯片(M1、M2和M3系列)中的漏洞。这些缺陷可能允许黑客提取加密密钥。
该漏洞利用了一种称为“预取”的技术,这是苹果M系列芯片中的一个特性,旨在加快与公司设备的交互。预取可以将敏感数据存储在处理器的快取中,使攻击者能够检索这些信息以重构应保持不可访问的密钥。
不幸的是,根据Ars Technica的报导,这对苹果用户来说是一个重大问题,因为芯片级漏洞无法通过软体更新来修复。