来自Trellix的网络安全研究人员分享了他们对macOS和iOS上的六个漏洞以及一个新的错误类别的发现。
该公司在周二发布的一份公告中写道,新类别的权限升级漏洞是基于ForcedEntry攻击,该攻击滥用macOS和iOS的功能来部署NSO集团的移动Pegasus恶意软件。
根据技术报道,苹果在发现ForcedEntry后采取的缓解措施不足以防止几次相关的攻击。
特别是,新的bug类包含许多与上述攻击中利用的漏洞类似的零日漏洞,CVSS得分在5.1到7.1之间。
Trellix高级漏洞研究员Austin Emmitt解释道:“上述漏洞代表了对macOS和iOS安全模型的重大破坏,该模型依赖于单个应用程序对所需资源的子集进行细粒度访问,并查询更高特权的服务以获取其他任何内容。”
发现的漏洞影响了对SMS和iMessage以及位置数据,照片和视频的访问。威胁行为者可以使用这些错误删除特定消息、通话记录或语音邮件,或擦除设备的内部存储空间。这些错误已披露给Apple,并分别在macOS 13.2和iOS 16.3中修复。
展开全文
Synopsys网络安全研究中心全球研究主管Jonathan Knudsen解释说:“Trellix披露了影响macOS和iOS的权限升级漏洞,说明了安全研究人员与苹果之间富有成效的相互作用。”
Knudsen在一封电子邮件中告诉Infosecurity:“软件必须在每个阶段都考虑到安全性,目标是发现并消除尽可能多的漏洞。然而,即使你做对了一切,发布的软件中仍然存在一些漏洞。”
安全专家还强调了安全研究人员如何在发布后发现其他漏洞。
Knudsen补充道:“快速响应入站安全披露至关重要。包括苹果在内的一些组织鼓励安全研究人员通过提供激励措施提交问题,通常称为漏洞赏金。认可并吸引安全研究社区是全面软件安全计划的重要组成部分。”
特别声明
本文仅代表作者观点,不代表本站立场,本站仅提供信息存储服务。