蘋果週一確認,其設備存在一個漏洞,允許通過基於網絡的 JavaScript 進行遠程惡意代碼執行,從而打開了一個攻擊向量,可能使無辜的受害者失去他們的加密資產。
根據最近的蘋果安全披露,用戶必須使用其 JavaScriptCore 和 WebKit 軟件的最新版本來修補漏洞。
該漏洞由谷歌威脅分析組的研究人員發現,允許“處理惡意構造的網絡內容”,這可能導致“跨站腳本攻擊”。
更令人擔憂的是,蘋果還承認“知道有報告指出這個問題可能在基於 Intel 的 Mac 系統上被積極利用。”
蘋果也爲 iPhone 和 iPad 用戶發佈了類似的安全披露。在這裏,它表示,JavaScriptCore 漏洞允許“處理惡意構造的網絡內容可能導致任意代碼執行。”
換句話說,蘋果意識到一個安全缺陷,這可能讓黑客在用戶訪問有害網站時控制用戶的 iPhone 或 iPad。蘋果表示,更新應該能解決這個問題。
加密網絡安全公司 Trugard 的首席技術官兼聯合創始人 Jeremiah O’Connor 告訴 Decrypt, “攻擊者可能訪問存儲在瀏覽器中的敏感數據,如私鑰或密碼”,如果用戶的設備沒有打補丁,可能會導致加密盜竊。
關於加密社區內漏洞的揭露在週三開始在社交媒體上傳播,前幣安首席執行官趙長鵬發推警告稱,使用 Intel CPU 的 Macbook 用戶應該儘快更新。
這一發展跟隨了三月份的報道,安全研究人員發現了蘋果前一代芯片——M1、M2 和 M3 系列中的一個漏洞,這可能讓黑客竊取加密密鑰。
這一漏洞並不新,它利用了“預取”技術,這是蘋果自家的 M 系列芯片用於加速與公司設備交互的過程。預取可以被利用來在處理器緩存中存儲敏感數據,然後訪問這些數據以重構一個本應無法訪問的加密密鑰。
不幸的是,ArsTechnica 報道,這對蘋果用戶來說是一個重大問題,因爲芯片級漏洞無法通過軟件更新解決。
一個潛在的解決方法可以緩解這個問題,但這些方法的安全性是以性能爲代價的。
由 Stacy Elliott 和 Sebastian Sinclair 編輯