Microsoft披露了MACOS中的一個關鍵漏洞,該漏洞允許攻擊者繞過核心隱私保護並竊取敏感用戶數據。該缺陷被其研究人員稱為“ Sploitlight”,利用操作系統的聚光燈搜索功能來規避透明度,同意和控制(TCC)框架。
這可以暴露出私人文件,最令人震驚的是,最令人震驚的是,數據緩存了Apple Intelligence。脆弱性,作為CVE-2025-31199
將搜索變成安全風險
black“> shromsparency”> parrancy,partarency,partarence,and> partarency,and> partarency,and Contrence,and Control(tcc)框架,以防止型號私有系統化的系統。根據Microsoft的報告,攻擊者可以通過制定惡意聚光燈進口商插件來繞過它。
這些使用.mdimporter後綴的插件通常用於幫助Spotlight索引索引不同的文件類型。具有本地訪問的攻擊者可以將惡意插件放入用戶的庫文件夾中。至關重要的是,插件捆綁包無需簽名,降低欄以進行攻擊。
當Spotlight的索引服務(MDS守護程序)遇到插件類型要處理的文件時,它會在沙盒的MDWorker流程中執行插件代碼。雖然受到嚴格限制,但微軟的團隊發現該沙盒還不夠。該插件仍然可以刪除文件內容,例如,通過將數據寫入系統的統一日誌。
此方法允許攻擊者從下載,桌面或圖片文件夾中讀取文件,而無需觸髮用戶同意提示。這一發現遵循微軟發現的其他TCC旁路,例如前面修補的“ HM-SURF”缺陷。
蘋果智能數據和iCloud同步放大了威脅
“ Sploitlight”的真正危險在於可以訪問它。漏洞不僅與單個文件有關;這是關於Apple Intelligence策劃的豐富,匯總的數據。微軟威脅情報警告說:“……這種漏洞的含義……更嚴重,因為它能夠提取和洩漏Apple Intelligence緩存的敏感信息,例如精確的Geolocation數據,照片和視頻元數據……”。
此訪問蘋果智能的訪問,例如Photos.sqlite Database,提供個人信息。攻擊者可以重建用戶的動作,通過面部識別數據識別員工,並在照片應用程序中查看其用戶活動和搜索歷史記錄。
風險超出了單個設備。微軟的研究人員指出:“……具有訪問用戶MacOS設備的攻擊者也可以利用漏洞來確定鏈接到同一iCloud帳戶的其他設備的遠程信息。”由於類似的面部標籤可以在登錄到同一iCloud帳戶的設備之間傳播,因此損害Mac可以揭示源自用戶iPhone的信息。
這種跨設備含義顯著提高了賭注。微軟威脅智能指出:“由於可以提取的信息的高度敏感性的性質,可以進一步從受保護的目錄中滲出私人數據……”。這項合作使蘋果有時間在漏洞成為公眾知識之前開發和發行修復程序,從而減輕了MacOS用戶的風險。
Apple於2025年3月31日發布了一個解決CVE-2025-31199的補丁程序,作為Macos紅杉的安全更新的一部分。強烈建議用戶確保更新其係統。這並不是Microsoft首次幫助確保Apple的生態系統,此前曾報導過系統完整性保護(SIP)的缺陷。
Microsoft指出,其研究人員在積極地尋找具有特權權利的過程中發現了旁路。這使其能夠增強其防御者的端點安全解決方案,以檢測與此漏洞相關的可疑活動。現在,該平台監視異常的.MDIMPORTOR安裝和敏感目錄的異常索引。
這種主動的防禦至關重要。正如微軟的團隊得出結論的那樣:“通過理解這些安全問題的更廣泛影響,我們可以更好地捍衛用戶並確保他們的數字安全。”該事件提醒您將復雜的操作系統與確定的對手確保所需的持續努力。