蘋果本周五回應(yīng)了所謂的“跨應(yīng)用資源訪問(XARA)”重大安全漏洞,公司表示本周已經(jīng)在服務(wù)器端發(fā)布了安全更新,目前正在與研究人員工作,推出更新補(bǔ) 丁。蘋果在聲明中承認(rèn)了 XARA 重大安全漏洞可以被惡意軟件使用,攻擊 OS X 和 iOS 操作系統(tǒng)。下載的惡意軟件可以截獲沙盒應(yīng)用之間通信的數(shù)據(jù),包括密碼和授權(quán)密匙等敏感信息。
去年,來自來自印第安納大學(xué)、佐治亞理工學(xué)院和北京大學(xué)的六人研究小組發(fā)現(xiàn)了 XARA安全漏洞。去年10月,他們已經(jīng)將發(fā)現(xiàn)遞交給蘋果,只是蘋果一直沒有回應(yīng)。安全研究小組將本周將 XARA安全漏洞公布。從 App Store 下載的惡意軟件可以訪問和修改鑰匙串?dāng)?shù)據(jù)庫和 Bundle ID,后者是訪問控制的一種方法。其他攻擊包括 WebSockets 和 URL Schemes。