Apple 바로가기의 위험한 취약점이 드러났습니다. 이 취약점으로 인해 공격자는 사용자에게 권한 부여를 요청하지 않고도 기기 전체의 민감한 데이터에 접근할 수 있습니다.
macOS 및 iOS용으로 설계된 Apple의 바로가기 애플리케이션은 작업 자동화를 목표로 합니다. 기업의 경우 사용자가 장치에서 특정 작업을 실행하기 위한 매크로를 만든 다음 웹 자동화에서 스마트 팩토리 기능에 이르기까지 모든 작업 흐름에 이를 결합할 수 있습니다. 그런 다음 iCloud 및 기타 플랫폼을 통해 동료 및 파트너와 온라인으로 공유할 수 있습니다.
에 따라 Bitdefender의 분석 현재 취약점(CVE-2024-23204)으로 인해 Apple의 TCC(투명성, 동의 및 제어) 보안 프레임워크를 우회할 수 있는 악성 바로가기 파일을 제작할 수 있습니다. 이는 앱이 명시적으로 권한을 요청하도록 보장합니다. 특정 데이터나 기능에 접근하기 전에 사용자로부터
즉, 누군가 라이브러리에 악성 바로가기를 추가하면 사용자에게 액세스 권한을 부여하지 않고도 민감한 데이터와 시스템 정보를 조용히 훔칠 수 있습니다. Bitdefender 연구원들은 PoC(개념 증명) 공격을 통해 암호화된 이미지 파일의 데이터를 유출할 수 있었습니다.
보고서는 “바로가기가 효율적인 작업 관리를 위해 널리 사용되는 기능인 만큼, 이 취약점은 다양한 공유 플랫폼을 통해 악의적인 바로가기가 무심코 유포될 수 있다는 우려를 불러일으킨다”고 지적했습니다.
이 버그는 macOS Sonoma 14.3, iOS 17.3 및 iPadOS 17.3 이전 버전을 실행하는 macOS 및 iOS 장치에 대한 위협이며 CVSS(Common Vulnerability Scoring System)에서 7.5점 만점에 10점을 받았습니다. 필요한 권한 없이 원격으로 악용됩니다.
Apple은 이 버그를 패치했으며 "우리는 사용자에게 최신 버전의 Apple Shortcuts 소프트웨어를 실행하고 있는지 확인하도록 촉구하고 있습니다"라고 Bitdefender의 위협 연구 및 보고 책임자인 Bogdan Botezatu는 말했습니다.
Apple 보안 취약점: 점점 더 흔해지고 있습니다
10 월에, 액센츄어 출판 2019년 이후 macOS를 표적으로 삼는 다크 웹 위협 행위자가 XNUMX배 증가했으며 이러한 추세는 계속될 것으로 예상되는 보고서입니다.
발견은 의 출현과 일치합니다. 정교한 macOS 인포스틸러 Apple의 내장 탐지를 우회하기 위해 만들어졌습니다. 카스퍼스키 연구원들 최근에 발견 된 정품 앱을 손상된 버전으로 대체하는 악성 소프트웨어를 사용하여 비트코인 및 Exodus 암호화폐 지갑을 표적으로 삼는 macOS 악성 코드입니다.
버그도 계속해서 밝혀져 초기 접근이 더 쉬워졌습니다. 예를 들어, 올해 초 Apple은 제로데이 취약점(CVE-2024-23222)을 수정했습니다. Safari 브라우저의 WebKit 엔진, 입력 유효성 검사 가정이 악용으로 이어질 수 있는 유형 혼동 오류로 인해 발생합니다.
일반적으로 Apple의 나쁜 결과를 방지하기 위해 보고서는 사용자에게 macOS, iPadOS 및 watchOS 장치를 최신 버전으로 업데이트하고, 신뢰할 수 없는 소스에서 바로가기를 실행할 때 주의를 기울이고, Apple의 보안 업데이트 및 패치를 정기적으로 확인할 것을 강력히 권고합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- :있다
- :이다
- :어디
- 10
- 14
- 17
- 2019
- 7
- a
- 할 수 있는
- 소개
- ACCESS
- 액세스
- 가로질러
- 배우
- 추가
- 겨냥한
- 수
- 또한
- an
- 및
- Apple
- 어플리케이션
- 앱
- 있군요
- 가정
- At
- 자동화
- 자동화
- 피하기
- 나쁜
- BE
- 때문에
- 전에
- 존재
- 비트코인
- 브라우저
- 곤충
- 내장
- 사업
- by
- 우회로
- CAN
- 발생
- 주의
- 어떤
- 검사
- 결합
- 왔다
- 공통의
- 손상된
- 우려 사항
- 혼동
- 동의
- 계속
- 제어
- 수
- 내기
- 만들
- 만든
- 위험한
- 어두운
- 어두운 웹
- 데이터
- 설계
- Detection System
- 장치
- 디바이스
- 책임자
- 몇몇의
- 이전
- 쉽게
- 효율적인
- 출현
- 암호화
- 확인
- 오류
- EVER
- 모두
- 실행
- 운동
- 이동
- 명시 적으로
- 공적
- 착취
- 악용
- 특색
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 결과
- 고정
- 럭셔리
- 뼈대
- 에
- 기능성
- 기능
- 일반
- 정품
- 얻을
- 주기
- 부여
- 데
- 높은
- HTTPS
- 영상
- in
- 정보
- 처음에는
- 입력
- 예
- 으로
- iOS
- iPadOS
- IT
- 그
- JPG
- 카스퍼 스키
- 최근
- 리드
- 도서관
- 빛
- 맥 OS
- 매크로
- 확인
- 제작
- 유튜브 영상을 만드는 것은
- 악의있는
- 악성 코드
- 구축
- 방법
- 배우기
- 아니
- 유명한
- 십월
- of
- on
- 온라인
- or
- 기타
- 아웃
- 결과
- 파트너
- 패치
- 허가
- 권한
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- PoC
- 균형 잡힌
- 가능한
- 선행
- 권한
- 제기
- 정격
- 규칙적으로
- 원격
- 신고
- 통계 보고서
- 의뢰
- 필수
- 연구
- 연구원
- 공개
- 상승
- 달리는
- s
- 라고
- 점수
- 보안
- 민감한
- 공유
- 공유
- 이후
- 소프트웨어
- 어떤 사람
- 지우면 좋을거같음 . SM
- 구체적인
- 후원
- 강하게
- 가정
- 확인
- 체계
- 시스템은
- 대상
- 태스크
- 작업
- 그
- XNUMXD덴탈의
- 절도
- 그들의
- 그들
- 그때
- Bowman의
- 그들
- 이
- 올해
- 위협
- 위협 행위자
- 을 통하여
- 에
- 오늘
- 투명도
- 경향
- 유형
- 업데이트
- 업데이트
- 촉구
- 익숙한
- 사용자
- 사용자
- 확인
- 버전
- 버전
- 취약점
- 취약점
- we
- 웹
- 웹킷
- 했다
- 언제
- 어느
- 크게
- 과
- 없이
- 워크 플로우
- 겠지
- year
- 제퍼 넷