苹果公司周一证实,其设备受到漏洞利用的威胁,该漏洞可能允许通过基于网络的 JavaScript 远程执行代码。这个漏洞可能会让黑客诱骗用户放弃他们持有的加密货币。
在最近的安全披露中,苹果表示用户应该使用最新版本的 JavaScriptCore 和 WebKit 软件来修复该漏洞。谷歌的威胁分析小组最初发现了该漏洞,该漏洞促进了“恶意制作的网页内容”的处理,可能导致“跨站点脚本攻击”。
此外,苹果公司承认,它“注意到有报告称这个问题可能已在基于英特尔的 Mac 系统上被积极利用”。 iPhone 和 iPad 用户也发布了类似的安全披露。苹果表示,如果用户处理恶意网页内容,JavaScriptCore 漏洞可能会导致“任意代码执行”。
从本质上讲,苹果发现了一个安全漏洞,如果访问有害网站,黑客可能会利用该漏洞控制 iPhone 或 iPad。该公司向用户保证,更新应该可以解决该问题。
加密网络安全公司 Trugard 的首席技术官兼联合创始人 Jeremiah O'Connor 向 Decrypt 解释说,“攻击者可以访问存储在浏览器中的敏感数据,例如私钥或密码”。如果用户的设备仍未修补,这可能会导致加密货币被盗。
有关该漏洞的消息在加密社区中迅速传播,币安前首席执行官赵长鹏周三在推文中警告配备英特尔 CPU 的 Macbook 用户立即更新系统。
3 月份早些时候的报告表明,安全研究人员发现了苹果上一代芯片(M1、M2 和 M3 系列)中的一个漏洞,该漏洞可能允许黑客窃取加密密钥。这种漏洞并不新鲜,它使用“预取”,这是苹果 M 系列芯片用来加速与公司设备交互的过程。预取可能会被用来将敏感数据存储在处理器的缓存中,然后再访问它以重建据称无法访问的加密密钥。
这对于苹果用户来说是一个重大问题,因为 ArsTechnica 报告称芯片级漏洞无法通过软件更新来修复。虽然潜在的解决方法可以缓解该问题,但这些解决方案通常会牺牲性能以换取安全性。
帖子浏览量: 第839章
