iOS 17.3 已修復(fù)，蘋果“快捷指令”高危漏洞被披露：可發(fā)送敏感數(shù)據(jù)

IT之家 2 月 23 日消息，網(wǎng)絡(luò)安全公司 Bitdefender 近日發(fā)布博文，詳細(xì)披露了 iOS “快捷指令”應(yīng)用中的高危漏洞，蘋果已經(jīng)于 iOS 17.3 更新中修復(fù)了該漏洞。

該漏洞追蹤編號為 CVE-2024-23204，CVSS 評分定為 7.5 分（滿分為 10 分），主要利用“Expand URL”功能繞過蘋果的 TCC 權(quán)限系統(tǒng)，將照片、聯(lián)系人、文件或剪貼板數(shù)據(jù)等 base64 編碼數(shù)據(jù)傳送到網(wǎng)站。攻擊者端的 Flask 程序會捕獲并存儲傳輸?shù)臄?shù)據(jù)，以便進(jìn)行潛在利用。

TCC 的英文是 Transparency, Consent, and Control，本質(zhì)上說不是“權(quán)限”，而是在原來的傳統(tǒng)操作系統(tǒng)的用戶權(quán)限之外，為了保護(hù)特定涉及用戶個人隱私的信息，提供的訪問控制的一層安全機(jī)制，也就是熟知的隱私與安全性的部分。

用戶如果點(diǎn)擊包含惡意內(nèi)容的快捷指令，就可能將自己的敏感信息傳送給攻擊者。用戶更新 iOS 17.3、iPadOS 17.3 或 macOS Sonoma 14.3 及更高版本，已經(jīng)免疫該攻擊傷害。

IT之家附上關(guān)于該漏洞的詳細(xì)披露原文，感興趣的用戶可以深入閱讀。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。