飞轮公司“Ctrlbox”获数千万元Pre-A轮投资,君翼注资
06-17
近期,苹果连续发布两份重要安全公告,公开感谢Alpha Lab团队率先世界发现了五个 MacOS 蓝牙漏洞。
这是苹果MacOS系统中极为罕见的漏洞组合,并且经官方确认,该漏洞组合均为“零点击、无接触”远程利用漏洞。
鉴于其不可忽视的破坏能力,该漏洞组合的发现者和报告者Alpha Lab团队将其命名为“Bluewave”漏洞。
同时,苹果官方已根据安全团队提交的漏洞报告发布了补丁,并授予了 75 美元的漏洞赏金。
苹果正式感谢安全团队在全球范围内第一个发现苹果 MacOS 中的蓝牙漏洞,该漏洞的破坏力不亚于“电磁脉冲”和“蓝波”漏洞。
就像苹果系统内爆炸了五颗重磅炸弹。
对于该漏洞的第一个发现者Alpha Lab来说,在完全界定“蓝波”的威胁格局之前,他们首先注意到的就是“蓝波”天生具备的“零点击”致命属性。
众所周知,虽然都是高危漏洞,但仍有不少漏洞严重依赖用户预授权或交互操作触发,其实际威胁被大大消除。
然而“蓝波”漏洞的难得之处在于,攻击者无需感知和交互即可完成远程攻击和利用,从而导致受害目标陷入非法控制。
与普通漏洞相比,“蓝波”的杀伤力和潜在破坏力显而易见。
在确认“零点击”的高危特性后,Alpha Lab立即意识到一个更令人不安的事实:“蓝波”漏洞具有无限的劫持可能性。
要知道,苹果MacOS的蓝牙进程中存在“Bluewave”漏洞,各种蓝牙设备相互连接。
这意味着攻击者一旦闯入某个设备,就可以以它为中心发起连锁攻击。
对于配对的MacOS设备,整个攻击过程像波浪一样无限传播。
而这也是Alpha Lab形象地将其命名为“Bluewave”的原因。
从一定程度上来说,“蓝波”漏洞的面积影响是最大的。
这种攻击形式不亚于空军作战中的“电磁脉冲”。
一旦被黑客利用,它可以长期默默潜伏,然后利用其硬杀伤力和极强的感染力,大规模彻底瓦解目标系统。
“Bluewave”漏洞同时攻破了6台苹果笔记本。
至于攻击者闯入系统后能够发起多大的破坏,根据漏洞报告显示,蓝牙进程在所有操作系统上都拥有极高的权限,因此这也意味着通过“Bluewave”漏洞可以获得最高的ROOT权限这种近乎完美的攻击方式满足了黑客迫切的攻击需求,可用于窃取敏感信息、回传隐私数据、执行任意恶意代码,甚至直接攻击。
值得一提的是,苹果笔记本中曝光的“Bluewave”漏洞影响范围广泛,涵盖了所有苹果笔记本,包括 macOS Mojave 10.14.6、macOS High Sierra 10.13.6 和 macOS Catalina 10.15.2。
实验室补充说,除了上述版本外,CVE-漏洞还将影响 macOS Catalina 10.15.3),为防止“Bluewave”漏洞被武器化,Security Brain 已协助苹果官方修复。
对于轻薄便携、USB接口紧缺的苹果笔记本来说,蓝牙键盘、蓝牙鼠标等蓝牙设备一直很受欢迎。
因此,开启蓝牙功能是数亿苹果用户的日常状态,甚至有数量巨大的用户始终保持蓝牙开启状态。
此次苹果笔记本曝光的“Bluewave”蓝牙组合漏洞,具有“破坏性”的威胁能力,尤其是利用成功的连锁影响,更是不可估量。
基于这种不稳定因素,安全专家建议用户尽快升级修复,避免漏洞攻击。
从发现主流厂商高危漏洞、协助产品修复的角度出发,安全大脑在今年12月确认该漏洞被利用后,第一时间向苹果官方提交了完整的漏洞报告,并正在协助苹果推广修理。
这可以防止犯罪分子利用这些漏洞给用户造成巨大损失。
网络时代,“漏洞”关系到个人、企业乃至国家的安全和利益。
它们通常被称为不可避免的网络武器和“新型弹药”。
面对这种日益严重的安全威胁,安全大脑正凭借自身过硬的实力,持续、长期地探索隐藏的安全漏洞,追击和拦截各种恶意攻击,输出安全防护力量,共同构建安全的网络环境。
苹果官方感谢Alpha Lab团队:雷锋网版权文章未经授权禁止转载。
详情请参阅转载说明。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-18
06-17
06-17
06-18
最新文章
Android旗舰之王的过去与未来
智能手表不被开发、AR眼镜被推迟,Meta的产品经历了一波三折
为什么Cybertruck是特斯拉史上最难造的车?
更新鸿蒙3后,文杰允许你在车里做PPT了
新起亚K3试驾体验:追求“性价比”,韩系汽车仍不想放弃
阿维塔15登场!汽车配备了增程动力,理想情况下会迎来新的对手吗?
马斯克宣布创建 ChatGPT 竞争对手! OpenAI的CEO给他泼了冷水, GPT-5可能会发生巨大变化
骁龙无处不在,是平台也是生态