苹果修复被 XCSSET 恶意软件滥用的3个 0day

该 0day 漏洞的编号是 CVE-2021-30713，由安全公司 Jamf 的研究员在分析恶意软件 XCSSET 时发现。该恶意软件最早现身于2020年8月，隐藏在托管在 GitHub 上的恶意 Xcode 项目中。

Jamf 在博客文章中指出，“首次发现后，XCSSET 恶意软件最引人注目的特性时它被指利用了两个 0day exploit。第一个用于窃取 Safari 浏览器 cookie，第二个用于绕过提示安装开发者版本的 Safari 应用程序。”

研究人员指出，它们在分析更老旧版本的威胁过程中还在 XCSSET 恶意软件源代码中发现了第三个 0day。该威胁目前已更新，用于攻击基于 M1 的 macOS 系统。

该 0day 打包为一个 AppleScript，可使恶意软件绕过 Transparency Consent 和Control。它是一种 macOS 服务，每当 app 想要执行入侵行动时就会弹出权限提示，这些入侵行为包括使用摄像头、麦克风或者记录用户的屏幕和按下键盘。

研究员指出，XCSSET 恶意软件团伙滥用 CVE-2021-30713 搜素 macOS 中其它 app 的 ID。这些 app 接受了一个危险权限，之后在其中一个合法 app 中植入一个恶意小程序执行恶意动作。

研究人员在报告中指出，苹果公司已经在 macOS Big Sur 11.4 安全更新中修复了 TCC。仍然运行老旧版本 macOS 的苹果用户易受攻击，建议更新系统。

虽然 XCSSET 恶意软件及其分发活动主要是针对开发人员，但其它恶意软件团伙也可能利用报告中提供的信息更新代码，并滥用 CVE-2021-30713 执行攻击。这也是为何建议 macOS 用户更新至最新版本 macOS Big Sur 11.4 的原因所在。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。