天创培训:您身边的信息安全培训专家!
开班计划
CISP国家注册信息安全认证2021下半年开班计划
主讲老师   张老师
开课时间   6月,7月,8月
培训方式   线上课程+线下培训
授课天次   6
上课时间   6月,7月,8月
课程介绍 在线报名
CISP-PTE六月渗透测试实战特训开班啦
主讲老师   张老师
开课时间   6月
培训方式   线上课程+线下培训
授课天次   8
上课时间   6月17日-25日
课程介绍 在线报名
CISAW信息安全保障从业人员认证|培训通道已开启!!!
主讲老师   张老师
开课时间   3月
培训方式   线下培训
授课天次   
上课时间   3月
课程介绍 在线报名
CISP-PTE一月寒假训练营火热报名中
主讲老师   张老师
开课时间   1月
培训方式   线上课程+线下培训
授课天次   21
上课时间   1月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

黑客利用 macOS 0-day 绕过隐私功能,截图

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2021-06-03  关键词:黑客,macOS 0-day,攻击

除了其他安全漏洞之外,苹果公司还推出了更新以解决三个零日漏洞,这些漏洞正被威胁行为者在野外非常积极地利用。其中两个缺陷影响了 Apple TV 4k 和 Apple TV HD 的tvOS ,而第三个 缺陷是在为其笔记本电脑和台式机设备提供支持 macOS Big Sur OS 中发现的。  

苹果公司在其安全公告中指出,该决定是在苹果公司承认这些漏洞正被“积极利用”之后做出的。该漏洞是由 Jamf 检测团队在探索XCSSET 恶意软件时发现的

苹果还针对 macOS Catalina、iOS、Mojave、watchOS、iPad 和 Safari 浏览器的安全漏洞发布了补丁。

0-Day 漏洞允许攻击者绕过 Apple 的隐私功能

macOS Big Sur 零日漏洞被追踪为CVE-2021-30713,它可以让攻击者绕过 Apple 的关键安全功能,包括透明同意和控制框架。Jamf 检测团队指出,只要应用程序的操作直接影响用户的隐私,这些功能就会提示用户获得许可,例如授予“视频协作软件访问网络摄像头和麦克风的权限” 。

“为了参加虚拟会议。该漏洞可能允许攻击者在不需要用户明确同意的情况下获得全盘访问、屏幕录制或其他权限——这是默认行为,”该团队解释说。

影响 iPhone 制造商电视系列产品的另外两个漏洞被追踪为CVE-2021-30663CVE-2021-30665。这些可以在 Apple 的 WebKit 组件中找到。它是许多 Apple 本地应用程序(包括 Safari 浏览器和邮件)使用的开源 Web 浏览器引擎。

第一个是整数溢出错误,第二个是内存损坏缺陷。攻击者可以使用恶意 Web 内容利用这些漏洞并允许它们执行任意代码

它是如何工作的?

根据 Jamf 研究人员 Jamf 研究人员 Jaron Bradley、Ferdous Saljooki 和 Stuart Ashenbrenner 的说法,该恶意软件控制合法应用程序,这些应用程序可以在感染设备后立即捕获屏幕记录或屏幕截图,而无需用户同意。

此外,研究人员还指出,XCSSET 正是利用这种绕过技术来捕获受害者设备在系统上安装后的桌面屏幕截图,而无需额外的权限。

(来源:HackRead)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000