苹果在发表讲话时证实,它已经 有关Xara利用的漏洞的知识 它同时利用iOS和OS X的优势,因此可以安装恶意软件甚至窃取个人信息。 如果我们没有选择仅安装由激活的开发人员识别的软件的安装的恶意第三方软件,则可以实现此目的,因此,它可以拦截沙箱内应用程序之间传输的数据,包括敏感信息,例如密码和密码。
«在本周初,我们已经实施了一项 服务器应用程序安全更新 它可以保护应用程序数据,并在Mac App Store中阻止具有沙箱配置问题的应用程序。 苹果发言人说:“我们还有其他修复方法可以应用到工作中,并且我们正在与调查人员合作,以找出每种威胁。”
这些漏洞是去年发现的 由一组研究人员在 印第安纳大学,佐治亚理工大学和中国北京大学。 后来,这些专业人员于去年XNUMX月将他们的发现告知了苹果,但苹果要求他们提供这些发现的更多细节,并且将他们隐藏至少六个月,直到他们解决。
正如本周发表的研究论文所述,恶意应用利用OS X和iOS方式的漏洞 在应用程序之间移动和存储数据。 对于OS X,从App Store下载的潜在恶意软件能够访问和修改Keychains数据库和相应的标识,从而使攻击者可以远程访问。 其他可能的攻击涉及WebSocket和URL方案。
尽管威胁是真实存在的,但某些新闻媒体可能会 他们高估了XARA的危险。 为了实施解决方案,Apple和开发人员需要使用更严格的协议来重新设计数据处理方法。