首頁 科技資訊 業界

蘋果Mac系統驚曝5個“烈性傳染”漏洞 又一場“病毒風暴”或在醞釀!

近日,蘋果公司連續發布兩份重要安全通告,公開致謝360 Alpha Lab團隊全球首家發現5個MacOS藍牙漏洞。這是蘋果MacOS系統中極其罕見的漏洞組合,并經官方確認,該漏洞組合全部屬于“零點擊無接觸”遠程利用漏洞。

鑒于其不容忽視的摧毀能力,該漏洞組合的發現者與報告者——360 Alpha Lab團隊將其命名為“Bluewave”漏洞。同時,蘋果官方已根據360安全團隊所提交的漏洞報告發布補丁,并獎勵漏洞獎金75,000美元。

(蘋果官方致謝360安全團隊)

全球首家發現蘋果MacOS藍牙漏洞

摧毀力堪比“電磁脈沖”

“Bluewave”漏洞的披露,就像蘋果系統爆出的5枚重磅炸彈。而對于該漏洞的第一發現者360 Alpha Lab而言,在完整定義“Bluewave”的威脅全貌前,他們首先注意到的是“Bluewave”所天然具備的“零點擊”這一致命屬性。

眾所周知,盡管同為高危漏洞,仍然有許多漏洞的觸發很大程度需要依賴用戶預授權或交互操作,其實際威脅大大消解。然而“Bluewave”漏洞的罕見之處就在于,攻擊者能夠以無感知、無交互的形態,完成遠程攻擊利用,從而導致受害目標陷入非法控制。這與一般的漏洞相比,“Bluewave”的殺傷力和潛在破壞力可見一斑。

在證實“零點擊”這一高危特質之后,360 Alpha Lab立即進一步意識到一個更為令人不安的事實:“Bluewave”漏洞具備無限劫持的可能性。要知道,“Bluewave”漏洞存在于蘋果MacOS藍牙進程中,而各種藍牙設備之間又是互相連接,這意味著攻擊者一旦攻破某臺設備,就可以以其為中心,連鎖式攻擊與之配對的MacOS設備,整個攻擊過程如像波浪一樣,無限擴散蔓延。而這正是360 Alpha Lab將其形象地命名為“Bluewave”的原因。

在某程度來說,“Bluewave”漏洞的面積效應是最大的。這種攻擊形式不亞于空軍作戰中的“電磁脈沖”,一旦被黑客利用,可以長時間靜默潛伏,然后利用其硬殺傷力和極強傳染性,大規模徹底瓦解目標系統。

(“Bluewave”漏洞同時攻破6臺蘋果筆記本)

至于攻破系統之后,攻擊者可以發起何等程度的破壞,根據360的漏洞報告,藍牙進程在所有操作系統上都擁有極高的權限,所以這也代表通過“Bluewave”漏洞可獲取蘋果MacOS系統最高ROOT進程權限,并達到完全控制電腦的程度。這種近乎完美的攻擊手段滿足了黑客迫切的攻擊需求,它可以被應用在敏感信息竊取、隱私數據回傳、任意惡意代碼執行,甚至不排除直接向內核發起攻擊的可能。

值得一提的是,此次蘋果筆記本曝出的“Bluewave”漏洞影響范圍甚廣,覆蓋macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2版本在內的所有蘋果筆記本。(另360 Alpha Lab補充道,CVE-2019-8853漏洞除了上述版本,還將影響macOS Catalina 10.15.3)

防止“Bluewave”漏洞武器化

360安全大腦已協助蘋果官方修復

對于輕薄便攜且USB接口緊缺的蘋果筆記本而言,藍牙鍵盤、鼠標等藍牙設備一直大行其道,因此,開啟藍牙功能是數以億計蘋果用戶的日常狀態,甚至更有數量龐大的用戶保持藍牙時刻開啟的習慣。

此次蘋果筆記本曝出的“Bluewave”藍牙組合漏洞,其威脅能力是“摧毀型”的,尤其是成功利用后帶來的連鎖性影響,更是無法估量?;谶@一不穩定因素,360安全專家建議,廣大用戶應盡快升級修復,以免遭受漏洞攻擊。

就挖掘主流廠商高危漏洞,并協助產品修復的角度而言,360安全大腦早在2019年12月確認此漏洞利用的第一時間,就向蘋果官方提交完整的漏洞報告,并正協助蘋果公司推進修復,以防不法分子利用這些漏洞對用戶造成巨大的損失。而“漏洞”作為網絡時代,關系個人、企業乃至國家安全與利益的存在,常常被稱為是一種避不開的網絡武器和“新型軍火”。面對這一日趨嚴重的安全威脅,360安全大腦正憑借著其過硬的實力,長期且持續地挖掘隱藏的安全漏洞,圍追堵截各種惡意攻擊,輸出安全守護力量,共建安全的網絡環境。

蘋果官方致謝360Alpha Lab團隊:

https://support.apple.com/zh-cn/HT211100

https://support.apple.com/en-us/HT210919

官方微博/微信

每日頭條、業界資訊、熱點資訊、八卦爆料,全天跟蹤微博播報。各種爆料、內幕、花邊、資訊一網打盡。百萬互聯網粉絲互動參與,TechWeb官方微博期待您的關注。

↑掃描二維碼

想在手機上看科技資訊和科技八卦嗎?

想第一時間看獨家爆料和深度報道嗎?

請關注TechWeb官方微信公眾帳號:

1.用手機掃左側二維碼;

2.在添加朋友里,搜索關注TechWeb。

手機游戲更多

福彩开奖2017131 韩国快乐8开奖走势 什么叫权重股 黑龙江6+1app 捕鱼来了弹头回收多少金币 福州麻将单机版下载 经典街机捕鱼 东北麻将二八是什么意思 十一运夺金基本走势图 正邦科技股票最新消 南粤36选7好彩3开奖结果查询