該公司在週一確認,其設備受到一個缺陷的影響,該缺陷使得通過基於網頁的JavaScript遠程執行惡意代碼成為可能。這一漏洞打開了一個攻擊向量,可能導致無辜用戶的加密相關數據被竊取。
根據蘋果最新的安全披露,使用者必須將其JavaScriptCore和WebKit軟體更新至最新版本以修補此問題。這一漏洞由谷歌威脅分析小組的研究人員發現,允許“處理惡意構造的網頁內容”,導致“跨網站腳本攻擊”。令人擔憂的是,蘋果也承認此問題“可能已在基於Intel的Mac系統上被積極利用”。
蘋果對iPhone和iPad用戶發布了類似的安全披露,指出JavaScriptCore的缺陷使得“處理惡意構造的網頁內容成為可能,這可能導致任意代碼執行。”換句話說,如果用戶訪問惡意網站,黑客可能會控制用戶的iPhone或iPad。蘋果向用戶保證,更新應能解決此問題。
加密網絡安全公司Trugard的首席技術官和聯合創始人杰里米·奧康納警告說,“攻擊者可能獲得對瀏覽器中存儲的敏感數據如私鑰或密碼的訪問權限”,如果使用者的設備保持未修補,則可能竊取加密資產。
在三月早些時候,報導出現,安全研究人員發現蘋果上一代芯片(M1、M2和M3系列)中的漏洞。這些缺陷可能允許黑客提取加密密鑰。
該漏洞利用了一種稱為“預取”的技術,這是蘋果M系列芯片中的一個特性,旨在加快與公司設備的交互。預取可以將敏感數據存儲在處理器的快取中,使攻擊者能夠檢索這些信息以重構應保持不可訪問的密鑰。
不幸的是,根據Ars Technica的報導,這對蘋果用戶來說是一個重大問題,因為芯片級漏洞無法通過軟體更新來修復。
