雅加达 - 微软最近透露了名为“光灯”(CVE-2025-31199)的macOS中的重大漏洞。这些漏洞能够绕过苹果的透明度,批准和控制(TCC)机制,并可能窃取Apple Intelligence保存的敏感数据,包括个人位置和照片元数据。
苹果在macOS Sequoia 15.4更新中修复了这一漏洞,这强调了按时更新系统的重要性。
最先进的技术虽然可能有弱点。微软揭示了苹果macOS中的一个重要安全漏洞,该漏洞有可能暴露存储在Apple Intelligence中的用户敏感数据。这个名为“Sploitlight”的漏洞显示了在网络安全世界中始终保持警惕的重要性。
从本质上讲,“充电”(代码为CVE-2025-31199)是一个错误,已成功通过Apple的TCC系统。TCC是macOS中的安全机制,在未经用户明确许可的情况下限制应用程序访问个人数据和系统功能。问题在于,这个漏洞可能会欺骗这种安全性。
那么,这些漏洞是如何工作的呢?漏洞是利用Spotlight插图,该插图可以在macOS中索引文件进行搜索。虽然此插件在有限的环境(沙盒)中运行,但它们可以专门访问其扫描的数据。
微软发现攻击者可以修改插件的元数据,以便系统在指示过程中记录敏感文件内容,并且可以在不需要TCC许可的情况下窃取数据。
影响非常严重。微软解释说,“充电光”允许黑客访问Apple Intelligence保存的许多敏感信息,例如确切的位置数据、照片和视频元数据、面部识别数据、搜索历史、用户首选项。更令人担忧的是,肇事者可以从与同一iCloud帐户相连的其他设备获取信息,从而使风险变得更加大。
疲劳已修复
好消息是,苹果通过2025年3月发布的macOS Sequoia 15.4更新,通过“更好的数据筛查”来防止漏洞,已经弥补了这一差距。发现这些漏洞的微软还更新了Defender for Endpoint,以检测安装与此方法相关的恶意插件的企图。
这一发现提醒了始终将软件更新到最新版本的重要性。尽管存在先进的安全框架,但安全研究人员和平台开发人员之间的持续警惕和合作对于保护日益连接的数字世界中的用户数据至关重要。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
