资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
苹果紧急呼吁用户更新设备以修复零点击漏洞
苹果公司正敦促用户立即更新设备,修补一个允许攻击者入侵iPhone、iPad和Mac的零点击漏洞。该漏洞对加密货币持有者构成较高风险。
漏洞详情
周四的安全公告显示,这个图像处理漏洞可能被高级攻击者利用。漏洞修复已包含在macOS Sonoma 14.7.8、macOS Ventura 13.7.8、iPadOS 17.7.10、macOS Sequoia 15.6.1、iOS 18.6.2和iPadOS 18.6.2更新中。
苹果公司表示:"我们已收到报告,该漏洞可能已被用于针对特定目标人群的极其复杂的攻击。"
对加密货币用户的高风险
网络安全专家警告称,该漏洞对加密货币用户尤为危险。由于加密货币系统直接关联金融资产,攻击者一旦入侵即可通过不可逆交易获利,因此这类目标备受攻击者青睐。
网络安全公司Coinspect创始人Juliano Rizzo指出,这是种"零点击漏洞",无需用户交互。"通过iMessage发送的附件可被自动处理并导致设备沦陷",攻击者可能借此获取钱包数据。
技术原理
漏洞存在于苹果的Image I/O框架,该框架负责处理大多数图像文件格式。因实现不当,处理恶意图像时可触发越界内存写入。
这意味着攻击者能向设备内存的受保护区域写入数据。在高级攻击者手中,该漏洞可被用于在目标设备上执行任意代码。
设备内存存储着所有正在运行的程序。通过越界写入,攻击者可篡改其他程序行为并执行恶意指令。
应对建议
Rizzo建议高风险用户:若发现设备存在入侵迹象或针对性攻击证据,应立即将密钥迁移至新钱包。
"具体步骤因攻击方式而异,关键要保持冷静,制定明确计划。首先保护主账户(邮箱、云存储),防止攻击者利用其重置密码获取更多权限。及时安装补丁很重要,但等待更新时不应推迟账户保护措施。"
对于普通用户,Rizzo表示:"理论上检查系统日志可发现异常,但实践中这些数据难以解读。"他指出像苹果这样的厂商更有能力检测漏洞利用情况并直接联系受害者。
