苹果透露：macOS11.3软件更新修补了一个安全漏洞

苹果今天向TechCrunch证实，刚刚发布的macOS11.3软件更新修补了一个安全漏洞，据报道，该漏洞让黑客可以通过诱骗用户打开伪造的文档，远程访问用户的敏感数据。根据该报告，安全研究员CedricOwens在3月中旬发现了该漏洞，他说：“该漏洞不会生成macOS提示或警告。”他开发了一款验证应用程序，伪装成无害的文档，利用该漏洞启动计算器应用程序，但他表示，该漏洞可能被用于更严重的目的。根据安全研究员PatrickWardle的说法，这个漏洞是macOS底层代码中的逻辑错误造成的。TechCrunch解释说：“简单地说，macOS应用程序不是一个单独的文件，而是应用程序运行所需的一组不同的文件，包括一个属性列表文件，它告诉应用程序它所依赖的文件位于哪里。”“但Owens发现，取出这个属性文件并构建具有特定结构的捆绑包可以欺骗macOS打开捆绑包，并在其中运行代码，而不会触发任何警告。”除了修复macOS11.3中的漏洞外，苹果还告诉TechCrunch，它为早期的macOS版本打了补丁，以防止滥用，并更新了macOS的内置反恶意软件系统XProtect，以阻止恶意软件利用该漏洞。