蘋果於本周一(4/26)更新了iOS、iPadOS,以及macOS Big Sur,在最新的macOS Big Sur 11.3中,蘋果除了改善macOS作業系統的能力之外,也修補了逾60個安全漏洞,而當中的CVE-2021-30657傳出已遭駭客開採。
根據蘋果的解釋,CVE-2021-30657漏洞藏匿在系統偏好中,允許惡意程式繞過Gatekeeper的檢查,且是由匿名的研究人員所提供。Gatekeeper是蘋果自2012年開始於macOS中所部署的安全機制,它可偵測及封鎖既有的惡意程式,以及使用者自網路上所下載的惡意檔案,確保macOS只能執行自App Store下載或是取得蘋果開發者憑證的程式。
不過,資安工程師Cedric Owens則出面表示這是他所發現的漏洞,該漏洞自macOS Catalina 10.15就存在,駭客只要打造一個特製的macOS酬載,就能繞過Gatekeeper,使用者唯一需要做的就是雙擊該.dmg檔案,再雙擊該檔案中的假程式,而且macOS不會跳出任何的警告。
圖片來源/Cedric Owens
另一名資安研究人員Patrick Wardle深究(notarization)了該漏洞,發現此一漏洞事實上允許駭客繞過許多蘋果的核心安全機制,不僅是Gatekeeper,還包括檔案隔離與公證要求,而且當他請求專門打造蘋果生態安全體系安全解決方案的Jamf,尋找是否已有相關的開採程式時,得到了肯定的答案,同時相信針對CVE-2021-30657所設計的開採程式,至少已存在數月之久。
繞過Gatekeeper、檔案隔離與公證要求,意謂著駭客將可在macOS平臺上執行任意程式,而且該漏洞也影響採用M1與macOS Big Sur 11.2.3的Mac電腦。
總之,不管是Owens或Wardle都呼籲macOS用戶,應儘快升級至macOS Big Sur 11.3。
至於macOS Big Sur 11.3在功能上的改善,則與iOS 14.5頗為類似,包括新增了對AirTag的支援,改善了Siri、播客(Podcasts)與新聞服務。該版也更新了Safari瀏覽器,允許使用者客製化Safari的起始頁面,新增對Web Speech API的支援,以讓開發者可在網頁上嵌入語音辨識功能,並提供即時的字幕、聽寫及語音導航能力
熱門新聞
2024-11-22
2024-11-25
2024-11-24
2024-11-25
2024-11-22
2024-11-24