IT之家 9 月 14 日消息，科技媒體 AppleInsider 昨日（9 月 13 日）發(fā)布博文，報(bào)道存在于 macOS 系統(tǒng)的漏洞，攻擊者利用該漏洞僅需發(fā)出 1 個(gè)日歷邀請(qǐng)，就能完全訪問用戶的 iCloud 賬戶，蘋果公司目前已經(jīng)修復(fù)。

蘋果自 2022 年 10 月至 2023 年 9 月間通過多次更新已經(jīng)修復(fù)了該漏洞。這些修復(fù)措施包括加強(qiáng)日歷應(yīng)用內(nèi)的文件權(quán)限管理，并增設(shè)多重安全防護(hù)層以阻斷目錄遍歷攻擊。

安全研究員 Mikko Kenttala 于昨日在 Medium 平臺(tái)發(fā)帖，詳細(xì)披露了存在于 macOS 日歷應(yīng)用中的零點(diǎn)擊漏洞，攻擊者利用該漏洞可在日歷沙盒環(huán)境中添加或刪除文件。

攻擊者還能利用該漏洞執(zhí)行惡意代碼，訪問包括 iCloud 照片在內(nèi)受害者設(shè)備上存儲(chǔ)的敏感數(shù)據(jù)。

IT之家從報(bào)道中獲悉，該漏洞追蹤編號(hào)為 CVE-2022-46723，攻擊者發(fā)送一個(gè)名為“FILENAME=../../../malicious_file.txt”的文件，可以將文件置于預(yù)期目錄之外，存放在用戶文件系統(tǒng)中更為危險(xiǎn)的位置。

攻擊者可以利用任意文件寫入漏洞進(jìn)一步升級(jí)攻擊。他們可以注入惡意日歷文件，這些文件設(shè)計(jì)為在 macOS 升級(jí)時(shí)執(zhí)行代碼，尤其是在從 Monterey 升級(jí)到 Ventura 的過程中。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。