苹果公司周一证实,其设备存在漏洞,可通过基于网络的JavaScript远程执行恶意代码,这可能导致不知情的受害者失去对加密资产的控制。
根据苹果最近发布的安全披露,用户必须使用其最新版本的JavaScriptCore和WebKit软件来修补该漏洞。
这一漏洞是由谷歌威胁分析小组的研究人员发现的,它允许"处理恶意制作的网络内容",可能导致"跨站脚本攻击"。
更令人担忧的是,苹果也承认"知道有报告称此问题可能已在基于英特尔的Mac系统上被主动利用"。
苹果还为iPhone和iPad用户发布了类似的安全披露。在这里,它表示JavaScriptCore漏洞允许"处理恶意制作的网络内容可能导致任意代码执行"。
换句话说,苹果意识到存在一个安全漏洞,如果用户访问一个恶意网站,黑客可能会控制用户的iPhone或iPad。苹果表示,更新应该可以解决这个问题。
加密网络安全公司Trugard的首席技术官兼联合创始人Jeremiah O'Connor告诉Decrypt,如果用户的设备未打补丁,"攻击者可能会访问像私钥或密码这样的敏感数据",从而导致加密资产被盗。
这一漏洞在加密社区的曝光始于周三,前币安CEO赵长鹏在一条推特中发出警告,建议使用英特尔CPU的Macbook用户尽快更新。
这一发展紧随3月的报告,安全研究人员发现了苹果前几代芯片(M1、M2和M3系列)的一个漏洞,黑客可以利用它来窃取加密密钥。
这一漏洞利用了"预取",这是苹果自家M系列芯片用来加快与公司设备交互的一个过程。预取可被利用来在处理器缓存中存储敏感数据,然后访问它以重构本应不可访问的加密密钥。
不幸的是,ArsTechnica报道称,这对苹果用户来说是一个重大问题,因为芯片级漏洞无法通过软件更新解决。
一个潜在的解决方法可以缓解这个问题,但这需要以性能为代价。
