影響 300 萬(wàn)款蘋(píng)果 iOS / macOS 應(yīng)用，CocoaPods 平臺(tái)漏洞披露：可注入惡意代碼

IT之家 7 月 2 日消息，大約有 300 萬(wàn)個(gè) iOS 和 macOS 應(yīng)用程序存在安全隱患，攻擊者可以利用漏洞添加惡意代碼。

E.V.A 信息安全研究人員 Reef Spektor 和 Eran Vaknin 今天發(fā)布博文，表示在 CocoaPods 依賴關(guān)系管理器中發(fā)現(xiàn)了 3 個(gè)安全漏洞，惡意攻擊者可以在主流 iOS 和 macOS 應(yīng)用中插入惡意代碼，IT之家附上漏洞信息如下：

• CVE-2024-38368（CVSS score: 9.3）

• CVE-2024-38367（CVSS score: 8.2）

• CVE-2024-38366（CVSS score: 10.0）

CocoaPods 是一個(gè)開(kāi)源 Swift 和 Objective-C 項(xiàng)目的存儲(chǔ)庫(kù)，很多開(kāi)發(fā)者使用 CocoaPods 添加和管理外部庫(kù)（pods）。

該平臺(tái)有超過(guò) 10 萬(wàn)個(gè) pods，超過(guò) 300 萬(wàn)款應(yīng)用使用，包括 Instagram、X、Slack、AirBnB、Tinder 和 Uber 等應(yīng)用都使用該平臺(tái)。

E.V.A 首席執(zhí)行官兼聯(lián)合創(chuàng)始人 Alon Boxiner 說(shuō)：“這些漏洞的影響力驚人，由于 CocoaPods 的使用量巨大，我們甚至不知道如何統(tǒng)計(jì)（受影響應(yīng)用程序的）數(shù)量”。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。