OS X 更新修復 iMessage 裡的 JavaScript 連結漏洞

Sanji Feng
Sanji Feng
2016年04月10日, 上午 11:59
0分享次數
FacebookTwitter

Apple 在上月末的時候修復了 iMessage 中的一個重大安全漏洞,但其實在當時同一輪的軟體更新中,他們也有解決另一個潛在的問題,只是一直等到今天,安全專家才出來解釋了一番究竟。具體來說,這個漏洞讓駭客能僅憑偽裝的 JavaScript 連結向 OS X El Capitan 用戶發起 XSS 攻擊。如跳轉後的影片所示,只要點擊了 Messages 裡有問題的連結,你的聊天記錄及附件就會被自動上載到遠端伺服器之上。

照理來說,這種攻擊手法在瀏覽器上會比較常見,但根據專家的說法,透過 WebKit 之類的引擎也能將其帶入很多其它應用之中。不管怎麼說,在升級到最新的 OS X 版本後,至少在目前,這方面的風險應該已降低了不少。但就算如此,看到連結點下去的時候最好還是多長個心眼喔。
標籤: apple, bishopfox, CVE-2016-1764, gear, imessage, ios, java, javascript, messages, mobile, osx, security, webkit, xss
0分享次數
FacebookTwitter