安基网 首页 资讯 安全报 查看内容

苹果macOS曝三个零日漏洞,可导致Mac电脑被劫持

2018-11-27 08:22| 投稿: lofor |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,Dropbox团队公开披露了有关苹果macOS操作系统中三个零日漏洞的详细信息。并指出,如果攻击者将这三个漏洞结合起来使用,则可能会导致Mac用户失去对自己设备的控制权。Dropbox团队表示,这三个漏洞分别被追踪为 ...

近日,Dropbox团队公开披露了有关苹果macOS操作系统中三个零日漏洞的详细信息。并指出,如果攻击者将这三个漏洞结合起来使用,则可能会导致Mac用户失去对自己设备的控制权。

Dropbox团队表示,这三个漏洞分别被追踪为CVE-2017-13890、CVE-2018-4176和CVE-2018-4175。三者结合使用,将赋予攻击者在目标Mac电脑上远程执行任意代码的能力。为了实现这一点,攻击者只需要诱骗受害者访问一个精心设计的恶意网站即可。

根据Dropbox团队的说法,这几个漏洞是由网络安全公司Syndis的安全专家发现的。以该公司受雇于Dropbox,对Dropbox的IT基础设施进行渗透测试,而这其中就包括对Dropbox所使用的苹果软件进行安全评估。

需要指出的是,这几个漏洞早在今年2月份就已经提交给了苹果安全团队,而苹果公司也在在3月份发布的安全更新中对它们进行了修复。因此,我们强烈建议Mac用户应该养成及时更新系统的好习惯。

Dropbox团队表示,这些漏洞会影响到所有运行最新版本Safari浏览器和操作系统的Mac电脑。其中,CVE-2017-13890影响的是macOS CoreTypes组件,在处理恶意网页时会导致自动挂载磁盘映像。CVE-2018-4176源于磁盘映像处理.bundle文件的方式,安装恶意磁盘映像可能导致应用程序的启动。CVE-2018-4175则允许攻击者使用恶意设计的应用程序绕过macOS Gatekeeper安全功能。

其实,从Dropbox团队对这三个漏洞的描述我们就可以看出,攻击者完全可以这三个漏洞来绕过代码签名,并执行修改后的终端应用程序版本,从而最终导致任意命令执行。

为此,攻击者只需要诱骗受害者使用Safari访问恶意网页,然后将这三个漏洞结合起来使用,就可以实现劫持受害者Mac电脑的目的。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

Tag标签: mac漏洞

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部