據(jù)Cyber Security News消息， 微軟威脅情報(bào)發(fā)現(xiàn)，macOS出現(xiàn)了一個(gè)名為“HM Surf”的新漏洞，能允許攻擊者繞過操作系統(tǒng)的透明、同意和控制（TCC）技術(shù)，在未經(jīng)授權(quán)的情況下訪問用戶受保護(hù)的數(shù)據(jù)。

該漏洞被追蹤為CVE-2024-44133，能夠被利用收集敏感信息（例如瀏覽歷史記錄），并在未經(jīng)授權(quán)的情況下訪問設(shè)備的攝像頭、麥克風(fēng)和位置。

HM Surf 能夠更改當(dāng)前用戶的主目錄，修改用戶真實(shí)主目錄下的敏感文件，以及運(yùn)行 Safari 打開一個(gè)網(wǎng)頁，該網(wǎng)頁拍攝相機(jī)快照并跟蹤設(shè)備位置。

Safari 彈出窗口

攻擊者可以執(zhí)行一些隱秘的操作，例如私下托管快照、保存整個(gè)攝像頭數(shù)據(jù)流、錄制和串流麥克風(fēng)音頻，以及在小窗口中啟動(dòng) Safari 以避免引起注意。

微軟通過 Microsoft Security Vulnerability Research （MSVR） 的協(xié)調(diào)漏洞披露 （CVD） 與 蘋果分享了這一漏洞發(fā)現(xiàn)。目前，只有 Safari 使用 TCC 提供的新保護(hù)，微軟正在與其他主要瀏覽器供應(yīng)商合作，以調(diào)查強(qiáng)化本地配置文件的好處。

目前蘋果已在9 月 16 日發(fā)布的 macOS Sequoia 最新安全更新中修復(fù)了該漏洞。微軟建議macOS 用戶盡快應(yīng)用 Apple 發(fā)布的安全更新。

此前，微軟已發(fā)現(xiàn)多個(gè)存在于macOS和Linux系統(tǒng)中的漏洞，隨著跨平臺(tái)威脅的持續(xù)增加，對(duì)漏洞發(fā)現(xiàn)和威脅情報(bào)共享的協(xié)調(diào)響應(yīng)將有助于加強(qiáng)保護(hù)技術(shù)，以保護(hù)用戶在所有平臺(tái)和設(shè)備上的安全。