IT之家9月14日音讯汤芳艳图,科技媒体AppleInsider昨日(9月13日)发布博文,报谈存在于macOS系统的谬误,迤逦者运用该谬误仅需发出1个日期邀请,就能十足打听用户的iCloud账户,苹果公司当今依然建筑。
苹果自2022年10月至2023年9月间通过屡次更新依然建筑了该谬误。这些建筑次序包括加强日期应用内的文献权限经管,并增设多重安全驻防层以阻断目次遍历迤逦。
安全接洽员MikkoKenttala于昨日在Medium平台发帖,详备表示了存在于macOS日期应用中的零点击谬误,迤逦者运用该谬误可在日期沙盒环境中添加或删除文献。
迤逦者还能运用该谬误履造孽意代码,打听包括iCloud相片在内受害者开辟上存储的敏锐数据。
IT之家从报谈中获悉,该谬误跟踪编号为CVE-2022-46723,迤逦者发送一个名为“FILENAME=../../../malicious_file.txt”的文献,不错将文献置于预期目次以外,存放在用户文献系统中更为危机的位置。
色色网迤逦者不错运用随心文献写入谬误进一步升级迤逦。他们不错注入坏心日期文献汤芳艳图,这些文献缱绻为在macOS升级时试验代码,尤其是在从Monterey升级到Ventura的流程中。