IT之家 7 月 29 日消息，微軟威脅情報團隊昨日(7 月 28 日)發布博文，報告稱在蘋果 macOS 系統上，發現和 Spotlight 相關漏洞，被黑客利用可竊取私人文件數據。

　　IT之家注：Spotlight 是蘋果公司旗下的 macOS 和 iOS 操作系統上的一項快速搜尋、隨打即顯、系統內置的桌面搜索引擎，工作原理的概念類似 Windows 索引服務。

　　微軟威脅情報團隊在報告中指出，這是一個透明度、同意和控制(TCC)繞過漏洞，可以泄露由 Apple 智能(Apple Intelligence)緩存的安全信息。

　　TCC 旨在防止應用程序在用戶同意之前訪問個人信息，而 Spotlight 插件支持應用程序文件出現在搜索結果中，蘋果對其進行了沙盒處理，嚴格限制訪問敏感文件的能力。但微軟研究人員找到了一種方法，通過調整 Spotlight 拉取的應用程序包，導致文件內容泄露。

　　

 

　　攻擊者可能利用該漏洞獲取精確的位置數據、照片和視頻的元數據、照片庫中的人臉識別數據、搜索歷史、AI 郵件摘要、用戶偏好等。

　　

 

　　蘋果在 3 月 31 日發布的 macOS 15.4 和 iOS 15.4 更新中解決了該問題。由于蘋果在漏洞公開之前已經修復了它，因此目前并沒有證據表明，已經有黑客利用上述漏洞發起攻擊。

　　蘋果更新的安全支持文檔中表示，問題通過改進數據編輯得到解決。同時，蘋果還修復了另外兩個由微軟報告的漏洞，包括改進符號鏈接的驗證和改進狀態管理。

　　

 

　　圖源：微軟博客