0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

360曝5个苹果MacOS蓝牙漏洞 攻击者可实现无感知无交互完成远程攻击

工程师邓生 来源:快科技 作者:城池 2020-03-27 08:50 次阅读

近日,360公司表示,发现5个苹果MacOS系统蓝牙漏洞。

这是苹果MacOS系统中罕见的漏洞组合,并经官方确认,该漏洞组合全部属于“零点击无接触”远程利用漏洞。360 Alpha Lab团队将其命名为“Bluewave”漏洞。

众所周知,尽管同为高危漏洞,仍然有许多漏洞的触发很大程度需要依赖用户预授权或交互操作,其实际威胁大大消解。

据了解,蓝牙进程在所有操作系统上都拥有极高的权限,而“Bluewave”漏洞的罕见之处在于,攻击者能够以无感知、无交互的形态,完成远程攻击利用,从而导致受害目标陷入非法控制,其摧毁能力不容忽视。

为此,苹果连续发布两份安全通告,致谢360 Alpha Lab团队发现5个MacOS蓝牙漏洞,并奖励漏洞奖金75,000美元。

目前,苹果已根据360安全团队所提交的漏洞报告发布补丁。

责任编辑:wv

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 苹果
    +关注

    关注

    61

    文章

    24401

    浏览量

    198628
  • MacOS
    +关注

    关注

    0

    文章

    210

    浏览量

    17497
  • 360
    360
    +关注

    关注

    1

    文章

    416

    浏览量

    29938
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15371
收藏 人收藏

    评论

    相关推荐

    网络攻击中常见的掩盖真实IP的攻击方式

    在各类网络攻击中,掩盖真实IP进行攻击是常见的手段,因为攻击者会通过这样的手段来逃脱追踪和法律监管。我们需要对这类攻击做出判断,进而做出有效有力的防范措施。 虚假IP地址的替换 首先,
    的头像 发表于 12-12 10:24 93次阅读

    蓝牙AES+RNG如何保障物联网信息安全

    KEY 进行一定的逆运算算法,就能获得加密前的数据 A。因此,在 BLE 连接交互数据时,可以对明文数据进行加密,确保数据的机密性,从而抵御攻击者。机密性是指第三方“攻击者”由于没有加密链路的共享密钥
    发表于 11-08 15:38

    IP定位威廉希尔官方网站 追踪网络攻击源的方法

    如今,网络安全受到黑客威胁和病毒攻击越来越频繁,追踪攻击源头对于维护网络安全变得尤为重要。当我们遭受网络攻击时,通过IP地址追踪威廉希尔官方网站 结合各种威廉希尔官方网站 手段和算法,可以逐步还原出攻击者的IP地
    的头像 发表于 08-29 16:14 406次阅读

    苹果发布macOS 13.6.8和macOS 12.7.6更新,修复多个漏洞

    今日(7月30日),苹果公司进一步推出了两款全新的产品——macOS 14.6的正式版以及macOS 15.1的开发Beta预览版;与此同时,也为广大Mac用户推送了两款极为重要的系
    的头像 发表于 07-30 15:55 2853次阅读

    PuTTY等工具严重安全漏洞还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用
    的头像 发表于 04-18 10:06 660次阅读

    苹果Mac设备易成为企业环境黑客攻击目标

    随着macOS桌面用户群体的壮大,攻击者正调整攻势,致力于创新更多的跨平台攻击方式。数据表明,攻击者通常会借助社交工程的手段,将开发人员和工程师等企业用户设为
    的头像 发表于 04-12 11:25 342次阅读

    苹果警告iPhone用户可能成为间谍软件攻击目标

    虽然苹果并未披露攻击者以及受害用户所在的具体国家或地区信息,但警告信明确指出:“苹果已探测到您正成为间谍软件攻击的受害,此种
    的头像 发表于 04-11 16:25 605次阅读

    Rust漏洞远程执行恶意指令,已发布安全补丁

    漏洞源于操作系统命令及参数注入缺陷,攻击者能非法执行可能有害的指令。CVSS评分达10/10,意味着无须认证即可借助该漏洞发起低难度远端攻击
    的头像 发表于 04-10 14:24 699次阅读

    D-Link NAS设备存在严重漏洞,易受攻击者注入任意命令攻击

    该问题源于URL处理软件中的CGI脚本段“/cgi-bin/ nas_sharing. CGI”,其对HTTPGET请求的处理过程存在漏洞。该漏洞以CVE-2024-3273作为识别号,其方式包括以”system“参数进行的命令注入
    的头像 发表于 04-08 10:28 885次阅读

    CISPA-Helmholtz中心洞察UDP协议漏洞,构建Loop DoS攻击

    结合UDP协议的缺陷,“Loop DoS”实施IP欺骗极为简单。攻击者可设立一种自动生成大流量的情境,使目标系统或整网陷入拒绝服务(DoS)状态。
    的头像 发表于 03-21 14:52 627次阅读

    苹果修复macOS Ventura和Sonoma内存漏洞

    苹果强调,该漏洞影响macOS Ventura及macOS Sonoma系统,攻击者
    的头像 发表于 03-14 11:43 661次阅读

    随机通信下多智能体系统的干扰攻击影响研究

    网络控制系统可能会受到不同类型的网络攻击威胁[10-12],主要包括拒绝服务(denial of service, DoS)攻击[7]、欺骗攻击[8]、干扰攻击[9]等。文献[10]研
    发表于 03-01 11:00 579次阅读
    随机通信下多智能体系统的干扰<b class='flag-5'>攻击</b>影响研究

    施耐德电气遭勒索软件攻击,大量机密数据泄露

    Cactus是一种新颖的勒索软件,首次出现于2023年5月,其独有的加密机制避免常规检测。此外,Cactus具备多种加密选项,包含快速模式。若攻击者选择连贯执行两种模式,受害方文件将被双重加密,附件会添加两
    的头像 发表于 01-31 10:51 1363次阅读

    DDoS攻击的多种方式

    方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。DDOS攻击有以下几种方式。 SYN Flood攻击 SYN Flood
    的头像 发表于 01-12 16:17 618次阅读

    CSRF攻击的基本原理 如何防御CSRF攻击

    。与其他攻击方式相比,CSRF 攻击不需要获取用户的敏感信息(如用户名和密码),而是利用了用户和网站之间的信任关系,使得攻击者可以在用户不知情的情况下执行未经授权的操作,从而导致严重的后果。
    的头像 发表于 01-02 10:12 2702次阅读
    CSRF<b class='flag-5'>攻击</b>的基本原理 如何防御CSRF<b class='flag-5'>攻击</b>