IT之家 7 月 29 日消息，微軟威脅情報(bào)團(tuán)隊(duì)昨日(7 月 28 日)發(fā)布博文，報(bào)告稱在蘋(píng)果 macOS 系統(tǒng)上，發(fā)現(xiàn)和 Spotlight 相關(guān)漏洞，被黑客利用可竊取私人文件數(shù)據(jù)。

　　IT之家注：Spotlight 是蘋(píng)果公司旗下的 macOS 和 iOS 操作系統(tǒng)上的一項(xiàng)快速搜尋、隨打即顯、系統(tǒng)內(nèi)置的桌面搜索引擎，工作原理的概念類似 Windows 索引服務(wù)。

　　微軟威脅情報(bào)團(tuán)隊(duì)在報(bào)告中指出，這是一個(gè)透明度、同意和控制(TCC)繞過(guò)漏洞，可以泄露由 Apple 智能(Apple Intelligence)緩存的安全信息。

　　TCC 旨在防止應(yīng)用程序在用戶同意之前訪問(wèn)個(gè)人信息，而 Spotlight 插件支持應(yīng)用程序文件出現(xiàn)在搜索結(jié)果中，蘋(píng)果對(duì)其進(jìn)行了沙盒處理，嚴(yán)格限制訪問(wèn)敏感文件的能力。但微軟研究人員找到了一種方法，通過(guò)調(diào)整 Spotlight 拉取的應(yīng)用程序包，導(dǎo)致文件內(nèi)容泄露。

　　攻擊者可能利用該漏洞獲取精確的位置數(shù)據(jù)、照片和視頻的元數(shù)據(jù)、照片庫(kù)中的人臉識(shí)別數(shù)據(jù)、搜索歷史、AI 郵件摘要、用戶偏好等。

　　蘋(píng)果在 3 月 31 日發(fā)布的 macOS 15.4 和 iOS 15.4 更新中解決了該問(wèn)題。由于蘋(píng)果在漏洞公開(kāi)之前已經(jīng)修復(fù)了它，因此目前并沒(méi)有證據(jù)表明，已經(jīng)有黑客利用上述漏洞發(fā)起攻擊。

　　蘋(píng)果更新的安全支持文檔中表示，問(wèn)題通過(guò)改進(jìn)數(shù)據(jù)編輯得到解決。同時(shí)，蘋(píng)果還修復(fù)了另外兩個(gè)由微軟報(bào)告的漏洞，包括改進(jìn)符號(hào)鏈接的驗(yàn)證和改進(jìn)狀態(tài)管理。

　　圖源：微軟博客

安心聽(tīng)歌：蘋(píng)果 iOS 26...

最后一頁(yè)