IT業界資訊媒體

【Apple Bug 周街執?】Dropbox 紅隊演練意外發現三個 macOS 零日漏洞

Dropbox 日前公開 Apple macOS 三個零日漏洞,可致攻擊者遠程執行惡意代碼。其實 macOS 漏洞比起其它作業系統已經算少見,但估唔到呢三個被評為「致命」級別嘅漏洞竟然係 Dropbox 「路過」時發現。

Dropbox 早前聘請網絡保安公司 Syndis 模擬紅隊(Red Team)做滲透測試,主要針對 Dropbox IT infrastructure,當中包括 Dropbox 使用的 Apple 軟件。而就喺測試中,Syndis 意外發現 Apple 三個 macOS 零日漏洞:用戶在 Safari 上打開一個惡意網站,macOS 系統就會被黑客控制。

三個漏洞分別係 CVE-2017-13890CVE-2018-4176 CVE-2018-4175。第一個漏洞位於 CoreTypes,透過訪問惡意網頁,Safari 就會自動下載及安裝 disk image;第二個漏洞利用一個叫「bless」嘅 bootable volume utility 可致攻擊者在 Safari 網頁中啟動惡意程式;第三個漏洞關於 macOS Gatekeeper 防惡意程式功能,此漏洞讓惡意程式 bypass Gatekeeper。將三個漏洞結合,攻擊者就可以暢通無阻地啟動遠程惡意攻擊。

Dropbox Syndis 已在今年二月向 Apple 通報,而 Apple 也很快地在三月修補,所以大多數用戶應該已經得到保護。所以話及時 update 電腦好重要,大家千祈唔好懶喇。

相關文章:

FB Apple 互串】Mark Zuckerberg 不堪刺激,下令所有 FB 高層用 Android 手機  https://bit.ly/2PLwYqw

Mac友注意】macOS High Sierra 發現零日攻擊 https://bit.ly/2ojcANn

資料來源:https://bit.ly/2DR1b13