蘋果公司週一證實,其裝置存在漏洞,可透過基於網路的JavaScript遠端執行惡意程式碼,這可能導致不知情的受害者失去對加密資產的控制。
根據蘋果最近釋出的安全披露,使用者必須使用其最新版本的JavaScriptCore和WebKit軟體來修補該漏洞。
這一漏洞是由谷歌威脅分析小組的研究人員發現的,它允許"處理惡意製作的網路內容",可能導致"跨站指令碼攻擊"。
更令人擔憂的是,蘋果也承認"知道有報告稱此問題可能已在基於英特爾的Mac系統上被主動利用"。
蘋果還為iPhone和iPad使用者釋出了類似的安全披露。在這裡,它表示JavaScriptCore漏洞允許"處理惡意製作的網路內容可能導致任意程式碼執行"。
換句話說,蘋果意識到存在一個安全漏洞,如果使用者訪問一個惡意網站,駭客可能會控制使用者的iPhone或iPad。蘋果表示,更新應該可以解決這個問題。
加密網路安全公司Trugard的首席技術官兼聯合創始人Jeremiah O'Connor告訴Decrypt,如果使用者的裝置未打補丁,"攻擊者可能會訪問像私鑰或密碼這樣的敏感資料",從而導致加密資產被盜。
這一漏洞在加密社群的曝光始於週三,前幣安CEO趙長鵬在一條推特中發出警告,建議使用英特爾CPU的Macbook使用者儘快更新。
這一發展緊隨3月的報告,安全研究人員發現了蘋果前幾代晶片(M1、M2和M3系列)的一個漏洞,駭客可以利用它來竊取加密金鑰。
這一漏洞利用了"預取",這是蘋果自家M系列晶片用來加快與公司裝置互動的一個過程。預取可被利用來在處理器快取中儲存敏感資料,然後訪問它以重構本應不可訪問的加密金鑰。
不幸的是,ArsTechnica報道稱,這對蘋果使用者來說是一個重大問題,因為晶片級漏洞無法透過軟體更新解決。
一個潛在的解決方法可以緩解這個問題,但這需要以效能為代價。
