按关键词阅读:
中新网3月26日电 近日 , 苹果公司连续发布两份重要安全通告 , 公开致谢360 Alpha Lab团队全球首家发现5个MacOS蓝牙漏洞 。 这是苹果MacOS系统中极其罕见的漏洞组合 , 并经官方确认 , 该漏洞组合全部属于“零点击无接触”远程利用漏洞 。
鉴于其不容忽视的摧毁能力 , 该漏洞组合的发现者与报告者——360 Alpha Lab团队将其命名为“Bluewave”漏洞 。 同时 , 苹果官方已根据360安全团队所提交的漏洞报告发布补丁 , 并奖励漏洞奖金75,000美元 。
![[漏洞]360安全大脑全球独家发现MacOS蓝牙漏洞 可实现零点击无接触远程利用](http://i2.chinanews.com/simg/cmshd/2020/03/26/5a00a821332a4af79eee2ada853e852a.jpg)
文章图片
苹果官方致谢360安全团队全球首家发现苹果MacOS蓝牙漏洞 摧毁力堪比“电磁脉冲”
“Bluewave”漏洞的披露 , 就像苹果系统爆出的5枚重磅炸弹 。 而对于该漏洞的第一发现者360 Alpha Lab而言 , 在完整定义“Bluewave”的威胁全貌前 , 他们首先注意到的是“Bluewave”所天然具备的“零点击”这一致命属性 。
众所周知 , 尽管同为高危漏洞 , 仍然有许多漏洞的触发很大程度需要依赖用户预授权或交互操作 , 其实际威胁大大消解 。 然而“Bluewave”漏洞的罕见之处就在于 , 攻击者能够以无感知、无交互的形态 , 完成远程攻击利用 , 从而导致受害目标陷入非法控制 。 这与一般的漏洞相比 , “Bluewave”的杀伤力和潜在破坏力可见一斑 。
在证实“零点击”这一高危特质之后 , 360 Alpha Lab立即进一步意识到一个更为令人不安的事实:“Bluewave”漏洞具备无限劫持的可能性 。 要知道 , “Bluewave”漏洞存在于苹果MacOS蓝牙进程中 , 而各种蓝牙设备之间又是互相连接 , 这意味着攻击者一旦攻破某台设备 , 就可以以其为中心 , 连锁式攻击与之配对的MacOS设备 , 整个攻击过程如像波浪一样 , 无限扩散蔓延 。 而这正是360 Alpha Lab将其形象地命名为“Bluewave”的原因 。
在某程度来说 , “Bluewave”漏洞的面积效应是最大的 。 这种攻击形式不亚于空军作战中的“电磁脉冲” , 一旦被黑客利用 , 可以长时间静默潜伏 , 然后利用其硬杀伤力和极强传染性 , 大规模彻底瓦解目标系统 。
![[漏洞]360安全大脑全球独家发现MacOS蓝牙漏洞 可实现零点击无接触远程利用](http://i2.chinanews.com/simg/cmshd/2020/03/26/2d10da2ca5cf4c7e998a85db5cb1a60d.jpg)
文章图片
“Bluewave”漏洞同时攻破6台苹果笔记本至于攻破系统之后 , 攻击者可以发起何等程度的破坏 , 根据360的漏洞报告 , 蓝牙进程在所有操作系统上都拥有极高的权限 , 所以这也代表通过“Bluewave”漏洞可获取苹果MacOS系统最高ROOT进程权限 , 并达到完全控制电脑的程度 。 这种近乎完美的攻击手段满足了黑客迫切的攻击需求 , 它可以被应用在敏感信息窃取、隐私数据回传、任意恶意代码执行 , 甚至不排除直接向内核发起攻击的可能 。
值得一提的是 , 此次苹果笔记本曝出的“Bluewave”漏洞影响范围甚广 , 覆盖macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2版本在内的所有苹果笔记本 。 (另360 Alpha Lab补充道 , CVE-2019-8853漏洞除了上述版本 , 还将影响macOS Catalina 10.15.3)
防止“Bluewave”漏洞武器化 360安全大脑已协助苹果官方修复
对于轻薄便携且USB接口紧缺的苹果笔记本而言 , 蓝牙键盘、鼠标等蓝牙设备一直大行其道 , 因此 , 开启蓝牙功能是数以亿计苹果用户的日常状态 , 甚至更有数量庞大的用户保持蓝牙时刻开启的习惯 。
【[漏洞]360安全大脑全球独家发现MacOS蓝牙漏洞 可实现零点击无接触远程利用】此次苹果笔记本曝出的“Bluewave”蓝牙组合漏洞 , 其威胁能力是“摧毁型”的 , 尤其是成功利用后带来的连锁性影响 , 更是无法估量 。 基于这一不稳定因素 , 360安全专家建议 , 广大用户应尽快升级修复 , 以免遭受漏洞攻击 。
就挖掘主流厂商高危漏洞 , 并协助产品修复的角度而言 , 360安全大脑早在2019年12月确认此漏洞利用的第一时间 , 就向苹果官方提交完整的漏洞报告 , 并正协助苹果公司推进修复 , 以防不法分子利用这些漏洞对用户造成巨大的损失 。 而“漏洞”作为网络时代 , 关系个人、企业乃至国家安全与利益的存在 。 面对这一日趋严重的安全威胁 , 360安全大脑正凭借着其过硬的实力 , 长期且持续地挖掘隐藏的安全漏洞 , 围追堵截各种恶意攻击 , 输出安全守护力量 , 共建安全的网络环境 。
【[漏洞]360安全大脑全球独家发现MacOS蓝牙漏洞 可实现零点击无接触远程利用】苹果官方致谢360Alpha Lab团队:
https://support.apple.com/zh-cn/HT211100
https://support.apple.com/en-us/HT210919
北京联盟新闻频道小编注意到【编辑:于晓】
稿源:(中国新闻网)
【】网址:/a/2020/0326/010news242669.html
标题:[漏洞]360安全大脑全球独家发现MacOS蓝牙漏洞 可实现零点击无接触远程利用
