微软披露了一个威胁苹果粉丝隐私的漏洞细节，并敦促所有 macOS 用户更新系统。

微软的 Jonathan Bar Or 说，这个漏洞被追踪为 CVE-2024-44133 (CVSS5.5)，并在 9 月份的 macOS Sequoia 更新中得到了修补。

利用成功后，攻击者有可能使用设备的摄像头拍照、通过麦克风录音、泄露用户位置等。

该漏洞针对的是苹果的 “透明、同意和控制”（TCC）保护措施，鉴于微软自己的8个macOS应用程序在8月份被揭露存在基于TCC的漏洞，微软会对此有深刻的认识。

Bar Or表示，该问题仅限于Safari浏览器，没有其他第三方浏览器存在漏洞，不过这家Windows巨头正在与它们合作，以确保核心问题–本地配置文件–的安全。

TCC 在 macOS 中的作用是确保用户可以控制应用程序对各种功能的访问请求，显示提示并询问是否批准/拒绝。

该功能由苹果所谓的 “权限 ”驱动。有些应用程序可以访问比其他应用程序更强大的权限，Safari 就是其中之一。例如，如果一个应用程序想要访问设备的麦克风，开发者就会启用权限，提示用户接受访问请求。一旦批准/拒绝，该设置应保持不变，直到用户进行更改。

Safari 的权限允许它绕过所有 TCC 保护，如果用户批准，该应用程序就可以自由访问所有可能威胁隐私的组件，以及设备的地址簿等内容。

Bar Or 开发的漏洞利用程序涉及修改 Safari 浏览器目录中的配置文件，TCC 相关文件就保存在该目录中。

利用目录服务命令行实用程序（dscl），Bar Or 能够更改用户的主目录，以移除 TCC 保护的方式修改敏感文件，再次更改主目录以便 Safari 使用这些修改后的文件，然后运行 Safari，这样他们就可以拍摄快照、录制音频、查看下载历史记录等。

他还指出，为了不引起怀疑，坏人可以在一个很小的窗口中启动 Safari，同时将他们想要的数据上传到他们选择的服务器上。

在开发出这个被称为 “HM Surf ”的漏洞后，微软制定并部署了新的检测策略，由此获得的情报揭示了一些可疑的活动，微软称这些活动带有 Adloader 的特征。

Bar Or 在博客中写道：“由于我们无法观察到导致这些活动的步骤，因此我们无法完全确定 Adload 活动是否利用了 HM Surf 漏洞本身。”

“攻击者使用类似的方法来部署一种普遍存在的威胁，这提高了利用这种技术防范攻击的重要性。”

苹果公司没有立即回应我们的置评请求。不过，如果苹果回应了，它可能会像 Bar Or 一样说，它为应用程序组容器推出了新的 API，这样苹果的系统完整性策略（SIP）就可以防止配置文件被攻击者修改，从而解决该类漏洞。

至于其他浏览器的进展情况，火狐浏览器尚未采用 API，Chromium 也是如此，不过它正在努力采用 os_crypt，它以不同的方式解决了核心问题。微软的方法是确保 Defender 能够检测到 Safari 目录中的可疑修改。