IT之家 7 月 29 日消息，微軟威脅情報團隊昨日(7 月 28 日)發(fā)布博文，報告稱(chēng)在蘋(píng)果 macOS 系統上，發(fā)現和 Spotlight 相關(guān)漏洞，被黑客利用可竊取私人文件數據。

　　IT之家注：Spotlight 是蘋(píng)果公司旗下的 macOS 和 iOS 操作系統上的一項快速搜尋、隨打即顯、系統內置的桌面搜索引擎，工作原理的概念類(lèi)似 Windows 索引服務(wù)。

　　微軟威脅情報團隊在報告中指出，這是一個(gè)透明度、同意和控制(TCC)繞過(guò)漏洞，可以泄露由 Apple 智能(Apple Intelligence)緩存的安全信息。

　　TCC 旨在防止應用程序在用戶(hù)同意之前訪(fǎng)問(wèn)個(gè)人信息，而 Spotlight 插件支持應用程序文件出現在搜索結果中，蘋(píng)果對其進(jìn)行了沙盒處理，嚴格限制訪(fǎng)問(wèn)敏感文件的能力。但微軟研究人員找到了一種方法，通過(guò)調整 Spotlight 拉取的應用程序包，導致文件內容泄露。

　　

 

　　攻擊者可能利用該漏洞獲取精確的位置數據、照片和視頻的元數據、照片庫中的人臉識別數據、搜索歷史、AI 郵件摘要、用戶(hù)偏好等。

　　

 

　　蘋(píng)果在 3 月 31 日發(fā)布的 macOS 15.4 和 iOS 15.4 更新中解決了該問(wèn)題。由于蘋(píng)果在漏洞公開(kāi)之前已經(jīng)修復了它，因此目前并沒(méi)有證據表明，已經(jīng)有黑客利用上述漏洞發(fā)起攻擊。

　　蘋(píng)果更新的安全支持文檔中表示，問(wèn)題通過(guò)改進(jìn)數據編輯得到解決。同時(shí)，蘋(píng)果還修復了另外兩個(gè)由微軟報告的漏洞，包括改進(jìn)符號鏈接的驗證和改進(jìn)狀態(tài)管理。

　　

 

　　圖源：微軟博客