IT之家9月14日音讯汤芳艳图，科技媒体AppleInsider昨日（9月13日）发布博文，报谈存在于macOS系统的谬误，迤逦者运用该谬误仅需发出1个日期邀请，就能十足打听用户的iCloud账户，苹果公司当今依然建筑。

苹果自2022年10月至2023年9月间通过屡次更新依然建筑了该谬误。这些建筑次序包括加强日期应用内的文献权限经管，并增设多重安全驻防层以阻断目次遍历迤逦。

安全接洽员MikkoKenttala于昨日在Medium平台发帖，详备表示了存在于macOS日期应用中的零点击谬误，迤逦者运用该谬误可在日期沙盒环境中添加或删除文献。

迤逦者还能运用该谬误履造孽意代码，打听包括iCloud相片在内受害者开辟上存储的敏锐数据。

IT之家从报谈中获悉，该谬误跟踪编号为CVE-2022-46723，迤逦者发送一个名为“FILENAME=../../../malicious_file.txt”的文献，不错将文献置于预期目次以外，存放在用户文献系统中更为危机的位置。

迤逦者不错运用随心文献写入谬误进一步升级迤逦。他们不错注入坏心日期文献汤芳艳图，这些文献缱绻为在macOS升级时试验代码，尤其是在从Monterey升级到Ventura的流程中。