近日,有研究人員發現了 macOS 存在零時差 (0-day) 漏洞,此漏洞將允許惡意軟件取得麥克風、攝影鏡頭以及屏幕錄影權限。
據 Apple 設備資安管理公司的 Jamf 表示,它找到證據指出 XCSSET 惡意軟件正利用一個漏洞,讓黑客可存取 macOS 中需要許可權的部分。XCSSET 最早由 Trend Micro 於 2020 年發現,用於感染 Xcode 的 APP 開發專案,並在利用「宿主」散播到其用戶。而這個惡意軟件的最新變種能在 M1 晶片的 Mac 設備運作。其利用 2 個 0-Day 漏洞讓攻擊者幾乎能修改並監聽任何網站。
然而 Jamf 而發現這款惡意軟件正利用之前從未發現的第三個 0-Day 漏洞進行攻擊,此漏洞可讓黑客擷取受害者的螢幕畫面。基本上 macOS 會在任何軟件存取資源的授權時,都會先徵求用戶的許可,但此惡意軟件透過將惡意代碼注入合法 APP 以潛入系統,並規避許可權提示。
目前還未知此惡意軟件透過此漏洞感染多少台 Mac 電腦,但 Apple 表示已於本月 25 日發佈的更新修復了 macOS 11.4 中的漏洞。