原标题:利用macOS High Sierra漏洞以虚拟点击就能绕过安全机制
图片来源:Patrick△Wardle
前NSA骇客、现任安全公司Digita△Security研究长Patrick△Wardle发现 macOS△High△Sierra有一去年发现可让骇客执行合成点击攻击的漏洞,现在又再次出现。
Wardle上周在Def△Con骇客大会上公布这项研究。合成点击原本是macOS中提供无法按滑鼠的身障人士的一项功能,利用程式达到点击效果。为防止滥用,macOS加入“User-Approved△Kext”的安全功能,要求使用者必须在系统跳出的安全对话框中,以滑鼠点击“允许”键才能放行,以防有人利用合成点击存取敏感资料或载入恶意程式。
不过Wardle指出mac△OS△High△Sierra有个能放行合成点击的漏洞CVE-2017-7150。在macOS中,滑鼠点击按(down)与放(up)被视为二个动作。他偶然发现,如果在up之前以程式码制造连续二个down,就会被High△Sierra误认为是合法的手动点击,等于是制造“虚拟”或隐形点击行为,模拟点选“OK”、“允许”等动作。
他指出,结合合成点击和该漏洞的结果非常危险,能轻松绕过苹果的User-Approved△Kext及第三方安全工具,执行不可信赖的app、泄露keychain所有密码、安装系统核心扩充程式、授权对外网络连线,所有行为通通都可以,全部都不需要使用者点滑鼠。
事实上,Wardle去年就曾揭露过这个的漏洞,苹果也曾经修补过。但他指出,这显示苹果的修补完全没有用,只要执行零时差攻击,即让未获授权的程式码执行合成事件。
Wardle自己都颇为惊讶,因为只要简单二行程式码就能完全瓦解这个安全机制,Apple△Insider引述因为太简单了,他都不好意思说出来,“虽然我替苹果更感到不好意思”。
不过他表示,这项漏洞仅影响High△Sierra。不会影响之前mac△OS版本,而下一版的10.14 Mojave也已经完全拉黑合成事件。
相关:
传三星考虑关闭天津手机工厂 或缩减中国手机制造 | 香港 UNWIRE.HK 玩生活.乐科技
韩国传媒《电子时报》报道,由于中国劳动成本上扬,再加上于中国市场的手机销量放缓,正在考虑暂停其中一座手机厂房的运作。三星发表声明,指目前并无任何关闭天津厂房的决定,并指三星将以提升竞争力、效率为主要考
示意图,与新闻事件无关。 图片来源: 微软 微软在8月的Patch△Tuesday修补了60个安全漏洞,当中包含了两个已被骇客开采的零时差漏洞—CVE-2018-8373与CVE-2018-8414。CVE-2018-8373是个远端程式攻击漏洞,存在于IE
Google剖析L1TF漏洞攻击,强调已完成云端漏洞防堵对策
针对英特尔本日发布的L1终端故障(L1 Terminal△Fault,L1TF)漏洞, Google也在博客宣布,在Compute△Engine中采用主机隔离功能,能够确保不同虚拟机器不会共享同一个核心,避开漏洞攻击的可能性,还部署了监控服务
资安一周第4期:主流mPOS与25款Android手机韧体都有安全漏洞
企业安全解决方案供应商Positive表示,美国与欧洲市场的mPOS热门品牌,包括Square、SumUp、 iZettle与PayPal,都存有安全漏洞,这些漏洞允许骇客执行中间人攻击,通过蓝牙或行动程式传递任意程式,或者是变更磁条交
HP上百款印表机爆远端执行程式码严重漏洞,用户应尽速更新韧体
印表机的安全风险,随着IoT的兴起而更受瞩目,全球印表机知名大厂HP,前阵子(7月31日)刚祭出全球首个印表机抓漏专案,相隔没几天的时间,他们又公开了2项具高度危险性的韧体瑕疵,并提醒用户尽速修补。本次提供的韧