前幣安首席執行官趙長鵬(CZ)警告加密社區,針對搭載 Intel 芯片的 Mac 用戶的新漏洞可能會暴露用戶的數字資產。
趙在 11 月 19 日強調了這一零日漏洞,敦促搭載 Intel 的 Mac 用戶修補系統,以防止成為持續漏洞的受害者。這些漏洞同樣影響 iPhone 和 iPad,已在 Mac 系統上被積極利用,促使蘋果發布緊急修復。
「如果您使用的是搭載 Intel 芯片的 MacBook,請儘快更新!」趙警告加密社區,提醒他們注意敏感數據的潛在風險。
零日漏洞是黑客在修補程序可用之前發現和利用的錯誤。因此這個名字,因為開發者有「零天」的時間來解決問題,讓用戶在安裝更新之前處於脆弱狀態。
根據蘋果的事後分析,這些漏洞被追蹤為 CVE-2024-44308 和 CVE-2024-44309,影響 macOS Sequoia 的 JavaScriptCore 和 WebKit 組件。黑客可以利用這一點執行「跨站腳本攻擊」,並悄悄運行惡意代碼。
跨站腳本攻擊是一種安全漏洞,攻擊者將惡意腳本注入受信任的網站或應用程式中。這些腳本在訪問被攻擊網站的用戶瀏覽器中運行,使攻擊者能夠劫持用戶會話、將用戶重定向到惡意網站並竊取敏感信息。
您可能還會喜歡:Thala 協議在 2550 萬美元的漏洞後恢復運作
加密黑客長期以來一直在 Mac 和 Windows 系統中利用類似的漏洞來竊取錢包憑據、執行網絡釣魚詐騙或注入惡意軟體來竊取私鑰和數字資產。
這家科技巨頭報告了其中一個漏洞是 cookie 管理問題,該問題已通過「改進狀態管理」得到解決。同時,另一個問題則通過「改進檢查」得到解決,報告補充道。
這些漏洞最初是由谷歌的威脅分析小組的研究人員發現的,該小組以調查政府支持的網絡攻擊而聞名。因此,關於國家支持的行為者潛在參與的推測已經出現。
蘋果尚未披露任何有關損害程度的具體細節,除了這些漏洞已被「積極利用」的事實。
蘋果用戶面臨風險
儘管蘋果公司在安全性方面有著強大的聲譽,蘋果用戶在今年已經多次面臨風險。11 月 12 日,北韓黑客針對 macOS 用戶發動了以加密為中心的惡意軟體攻擊,該軟體能夠繞過蘋果在過時系統上的安全措施。
在 4 月,web3 錢包提供商 Trust Wallet 發出警告,稱蘋果的 iMessage 框架中存在另一個零日漏洞,這使得攻擊者在沒有任何用戶互動的情況下入侵 iPhone。
一個月前,研究人員發現蘋果 M 系列芯片中的一個缺陷,該缺陷可以被利用來提取居住在 CPU 快取中的加密密鑰,使敏感數據易受侵犯。
此外,攻擊者已經多次成功入侵 App Store,儘管蘋果的政策嚴格,仍然推廣冒充知名加密交易所、錢包及其他詐騙平台的惡意應用程式,這些平台會竊取用戶的加密資產。
閱讀更多:Tapioca 基金會在 470 萬美元的漏洞事件後向攻擊者提供 100 萬美元的懸賞
