苹果修复 macOS 11.4 零日漏洞：可被攻击者秘密截屏或录制视频

Apple Insider 报道称，苹果刚刚为 macOS Big Sur 11.4 修复了一个零日漏洞。早前的概念验证表明，攻击者可通过劫持现有应用程序的权限，来秘密截取屏幕画面或录制视频。率先曝光此事的 Jamf 安全研究人员称：为控制应用程序能够访问哪些系统功能，苹果特地在 macOS 中实施了“透明许可与控制”框架，但该零日漏洞还是为此类攻击敞开了大门。

http://hackernews.cc/wp-content/uploads/2021/05/微信截图_20210525154318.png

更糟糕的是，Jamf 指出，该漏洞似乎已在野外被积极利用。他们在研究名为 XCSSET 的 Mac 恶意软件时发现了该缺陷，可知 XCSSET 是通过受感染的 Xcode 项目而让 macOS 开发者躺枪的。

在利用该漏洞劫持了其它应用程序的权限之后，恶意软件将使得攻击者达成许多目的，比如挂接到具有视频录制权限的 Zoom 云视频会议软件中。然而只有在利用该漏洞进行屏幕截图的时候，它才会被用户所察觉。

http://hackernews.cc/wp-content/uploads/2021/05/c7acf3712038bf4.gif

庆幸的是，苹果已于本周一发布了针对 macOS Big Sur 11.4 的这一漏洞补丁。与此同时，macOS Mojave 和 Catalina 也迎来了两个安全更新。

苹果在致《福布斯》的一份声明中强调，该漏洞仅影响通过 Mac 官方应用商店之外的渠道来下载应用程序的用户。

早些时候，苹果软件工程主管 Craig Federighi）还在 Epic 诉 App Store 案件的证词中表示 —— 与 iOS 移动设备相比，Mac 平台上的恶意软件状况是难以让人接受的。

（消息及封面来源：cnBeta）