蘋果設備發現新漏洞,可以惡意訪問用戶數據
發布時間 2023-02-24蘋果公司修訂了它上個月發布的安全公告,更新了影響iOS、iPadOS和macOS的三個新漏洞。
第一個漏洞是Crash Reporter組件中的一個競賽條件(CVE-2023-23520),可使惡意攻擊者以root身份讀取任意文件。iPhone制造商表示,它通過額外的驗證來解決這個問題。 另外兩個漏洞,歸功于Trellix研究員Austin Emmitt,位于Foundation框架中(CVE-2023-23530和CVE-2023-23531),可以武器化來實現代碼執行。
蘋果公司表示:“應用程序可能能夠在其沙箱之外執行任意代碼或具有某些提升的權限”,并補充說道已經通過“改進的內存處理”修補了這些問題。
在2023年1月23日發貨的iOS 16.3、iPadOS 16.3和macOS Ventura 13.2中,這些中度至高度的漏洞已經得到修補。
Trellix在周二自己的報告中,將這兩個漏洞歸類為 "新的一類漏洞,允許繞過代碼簽名,在幾個平臺應用程序的上下文中執行任意代碼,導致macOS和iOS上的權限升級和沙盒逃脫"。
這些漏洞還繞過了蘋果為解決零點擊漏洞而采取的緩解措施,如以色列雇傭軍間諜軟件供應商NSO集團利用FORCEDENTRY在目標設備上部署Pegasus。 因此,攻擊者可以利用這些漏洞沖出沙盒,以更高的權限執行惡意代碼,可能會允許訪問日歷、地址簿、信息、位置數據、通話記錄、攝像頭、麥克風和照片。 更要注意的的是,這些安全漏洞可以被濫用來安裝任意的應用程序,甚至擦除設備。也就是說,利用這些漏洞需要攻擊者已經獲得了一個最初的立足點。
Austin Emmitt表示:上述漏洞代表了對macOS和iOS安全模型的重大破壞,該模型依賴于單個應用程序對所需資源的子集進行細粒度訪問,并查詢更高特權的服務以獲取其他任何內容。
