新的 macOS 漏洞允许攻击者绕过安全控制

发布时间：2025-12-07 20:12:04 作者：玩站小弟

据Cyber Security News消息，微软威胁情报发现，macOS出现了一个名为“HM Surf”的新漏洞，能允许攻击者绕过操作系统的透明、同意和控制TCC）技术，在未经授权的情况下访问用户受。

据Cyber Security News消息，新的许攻微软威胁情报发现，洞允macOS出现了一个名为“HM Surf”的绕过新漏洞，能允许攻击者绕过操作系统的安全透明、同意和控制（TCC）技术，控制在未经授权的免费模板新的许攻情况下访问用户受保护的数据。

该漏洞被追踪为CVE-2024-44133 ，洞允能够被利用收集敏感信息（例如浏览历史记录），绕过并在未经授权的安全情况下访问设备的摄像头、高防服务器麦克风和位置。控制

HM Surf 能够更改当前用户的新的许攻主目录，修改用户真实主目录下的洞允敏感文件，以及运行 Safari 打开一个网页，绕过该网页拍摄相机快照并跟踪设备位置。亿华云安全

Safari 弹出窗口

攻击者可以执行一些隐秘的控制操作，例如私下托管快照、保存整个摄像头数据流、录制和串流麦克风音频，以及在小窗口中启动 Safari 以避免引起注意。

微软通过 Microsoft Security Vulnerability Research （MSVR）的协调漏洞披露（CVD）与苹果分享了这一漏洞发现。源码库目前，只有 Safari 使用 TCC 提供的新保护，微软正在与其他主要浏览器供应商合作，以调查强化本地配置文件的好处。

目前苹果已在9 月 16 日发布的 macOS Sequoia 最新安全更新中修复了该漏洞。模板下载微软建议macOS 用户尽快应用 Apple 发布的安全更新。

此前，微软已发现多个存在于macOS和Linux系统中的漏洞，随着跨平台威胁的持续增加，对漏洞发现和威胁情报共享的服务器租用协调响应将有助于加强保护技术，以保护用户在所有平台和设备上的安全。

Tag：

研究发现，攻击者能利用Chromium浏览器书签同步功能数据泄露
书签同步已经成为浏览器的一个标准功能，能帮助用户在某一设备上对书签进行改动时，也能同步到其他设备上。然而，研究发现，这种操作也给网络犯罪分子提供了一个便捷的攻击途径。SANS技术研究所的学术研究人员大
2025-12-07
Killnet黑客组织声称已“攻破”洛克希德-马丁公司
《莫斯科时报》披露，黑客组织Killnet声称对航空航天和国防巨头洛克希德-马丁公司发动了一次大规模 DDoS攻击。另外，该组织还表示从洛克希德-马丁公司一名员工那里窃取了大量数据，并威胁要泄露这些数
2025-12-07
显示IP属地，会泄露个人信息吗？
据了解，各大网络平台推出这一举措，是出于合规的考虑。为帮助公众识别虚假信息，让网络空间更清朗，国家互联网信息办公室于6月27日发布《互联网用户账号信息管理规定》，自2022年8月1日起施行。规定明确，
2025-12-07
实现自动化安全还需装好护栏
你会放手让未成年的孩子开车吗？显然这是非常鲁莽又危险的行为，但是如果是在游乐场里或封闭的专用赛道上，这么做的安全性就另当别论了，因为有安全围栏等措施对驾驶者进行保护。安全研究人员一直努力地让人工智能、
2025-12-07
为什么零信任策略会失败
零信任是企业保护系统免受网络攻击的黄金标准，但企业必须避免许多常见的实施陷阱。零信任策略是指任何人都不能在未经验证的情况下使用企业的数字资源。这不仅涉及进入系统时的验证，还涉及个人在系统内移动时的验证
2025-12-07
在 Linkerd 中使用 mTLS 保护应用程序通信
安全性是云原生应用程序的重中之重，虽然安全性是一个非常广泛的话题，但 Linkerd 依然可以发挥重要作用：其双向 TLSmTLS）功能是为了在 Kubernetes 中实现零信任的安全方法。零信任安
2025-12-07