苹果于本周一(4/26)更新了iOS、iPadOS,以及macOS Big Sur,在最新的macOS Big Sur 11.3中,苹果除了改善macOS操作系统的能力之外,也修补了超过60个安全漏洞,而其中的CVE-2021-30657传出已遭黑客开采。
根据苹果的解释,CVE-2021-30657漏洞藏匿在系统偏好中,允许恶意程序绕过Gatekeeper的检查,且是由匿名的研究人员所提供。Gatekeeper是苹果自2012年开始于macOS中所部署的安全机制,它可侦测及封锁既有的恶意程序,以及用户自网络上所下载的恶意文件,确保macOS只能执行自App Store下载或是取得苹果开发者凭证的程序。
不过,安全工程师Cedric Owens则出面表示这是他所发现的漏洞,该漏洞自macOS Catalina 10.15就存在,黑客只要打造一个特定的macOS酬载,就能绕过Gatekeeper,用户唯一需要做的就是双击该.dmg文件,再双击该文件中的假程序,而且macOS不会跳出任何的警告。
图片来源/Cedric Owens
另一名安全研究人员Patrick Wardle深究(notarization)了该漏洞,发现该漏洞事实上允许黑客绕过许多苹果的核心安全机制,不仅是Gatekeeper,还包括文件隔离与公证要求,而且当他请求专门打造苹果生态安全体系安全解决方案的Jamf,寻找是否已有相关的开采程序时,得到了肯定的答案,同时相信针对CVE-2021-30657所设计的开采程序,至少已存在数月之久。
绕过Gatekeeper、文件隔离与公证要求,意味着黑客将可在macOS平台上执行任意程序,而且该漏洞也影响采用M1与macOS Big Sur 11.2.3的Mac计算机。
总之,不管是Owens或Wardle都呼吁macOS用户,应尽快升级至macOS Big Sur 11.3。
至于macOS Big Sur 11.3在功能上的改善,则与iOS 14.5颇为类似,包括添加了对AirTag的支持,改善了Siri、播客(Podcasts)与新闻服务。该版也更新了Safari浏览器,允许用户定制化Safari的起始页面,添加对Web Speech API的支持,以让开发者可在网页上嵌入语音识别功能,并提供即时的字幕、听写及语音导航能力