macOS 日历漏洞披露：苹果已修复，可零点击窃取 iCloud 数据

电脑系统网 9 月 14 日新闻，科技媒体 AppleInsider 昨日（9 月 13 日)发布博文，报道存在 macOS 攻击者只需要利用系统漏洞发出系统漏洞 1 日历邀请可以完全访问用户 iCloud 目前苹果已经修复了账户。

苹果自 2022 年 10 月至 2023 年 9 这个漏洞在本月被多次更新修复。这些修复措施包括加强日历应用程序中的文件权限管理，并增加多个安全保护层，以阻止目录的全身攻击。

安全研究员 Mikko Kenttala 于昨日在 Medium 平台发帖，详细披露存在 macOS 攻击者可以在日历沙盒环境中添加或删除日历应用中的零点击漏洞。

攻击者还可以使用该漏洞执行恶意代码，包括访问 iCloud 存储在受害者设备上的敏感数据。

计算机系统网络从报告中了解到，漏洞的跟踪编号是 CVE-2022-46723，攻击者发送了一个名字“FILENAME=../../../malicious_file.txt在用户文件系统中，文件可以放置在预期目录之外，存储在更危险的位置。

攻击者可以用任何文件写入漏洞，进一步升级攻击。他们可以在设计中注入恶意日历文件 macOS 执行代码，特别是在升级时 Monterey 升级到 Ventura 的过程中。

广告声明：文本中包含的外部跳转链接（包括不限于超链接、二维码、密码等形式）用于传递更多信息，节省选择时间。结果仅供参考。计算机系统网络上的所有文章都包含了本声明。