1 月 11 日消息，據(jù) MacRumors 報(bào)道，微軟的 365 Defender 研究團(tuán)隊(duì)發(fā)布了有關(guān)新的“Powerdir”macOS 漏洞的詳細(xì)信息，該漏洞使攻擊者可以繞過(guò)透明、同意和控制技術(shù)來(lái)獲得對(duì)受保護(hù)數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)。

蘋(píng)果已在去年 12 月發(fā)布的 macOS Monterey 12.1 更新中修復(fù)了該漏洞(CVE-2021-30970)，因此更新到最新版本 Monterey 的用戶不會(huì)受到影響。在其 12.1 更新的安全發(fā)布說(shuō)明中確認(rèn)了 TCC 漏洞并將其發(fā)現(xiàn)歸功于微軟。

據(jù)微軟稱(chēng)，“Powerdir”安全漏洞可能允許植入虛假的 TCC 數(shù)據(jù)庫(kù)。TCC 是一項(xiàng)長(zhǎng)期運(yùn)行的 macOS 功能，允許用戶配置其應(yīng)用程序的隱私設(shè)置，并且通過(guò)偽造數(shù)據(jù)庫(kù)，惡意人員可以劫持安裝在 Mac 上的應(yīng)用程序或安裝自己的惡意應(yīng)用程序，訪問(wèn)麥克風(fēng)和攝像頭以獲取敏感信息信息。

微軟表示，其安全研究人員將繼續(xù)“監(jiān)控威脅形勢(shì)”，以發(fā)現(xiàn)影響 macOS 和其他非 Windows 設(shè)備的新漏洞和攻擊者技術(shù)。

像蘋(píng)果這樣的軟件供應(yīng)商、安全研究人員和更大的安全社區(qū)，需要不斷合作，在攻擊者利用漏洞之前識(shí)別和修復(fù)漏洞。