IT之家 9 月 5 日消息,科技媒体 9to5Mac 昨日(9 月 4 日)发布博文,报道称苹果 macOS 15 Sequoia 系统存在高危安全漏洞,被黑客利用可窃取用户照片、联系人等受保护文件。
IT之家援引博文介绍,该漏洞由安全研究员 Koh M. Nakagawa 发现,并在 Nullcon Berlin 2025 上披露,追踪编号为 CVE-2025-24204。
攻击者利用该漏洞,通过系统调试工具 gcore 的过高权限(com.apple.system-task-ports.read)直接读取任意进程的内存数据,即便系统启用了系统完整性保护(SIP)也无法阻挡。
攻击者利用该漏洞可直接提取 Keychain 的加密主密钥,从而无需用户密码即可解密全部密钥链数据,包括各类账户密码、加密证书等。同时利用该漏洞可以绕过透明化权限控制(TCC)机制,攻击者能窃取照片、联系人等受保护文件。
Nakagawa 最初是在测试微软发布的 ProcDump-for-Mac 工具时意外发现该漏洞。理论上,SIP 应阻止对受保护进程的内存访问,但 gcore 工具被错误授予了系统级权限,使其能转储几乎所有进程的内存内容。
攻击者通过读取 securityd 进程的内存,可恢复用于加密登录钥匙串的主密钥,进而完全解密 Keychain。此外,运行于 Apple Silicon Mac 上的 iOS 应用亦受影响,其加密的二进制文件可在运行时被提取并解密,而此类操作通常需越狱才可实现。
IT 援引博文介绍,苹果在 2025 年发布的 macOS 15.3 更新中移除了 gcore 的问题权限,但从官方安全通告中并未高调说明此事,修复信息仅隐于更新日志中。
虽然通过终端安全框架(Endpoint Security Framework)可监控可疑的 task_read_for_pid 调用,但研究员认为企业实时检测此类攻击难度较大,唯一有效对策仍是尽快升级系统。
为避免潜在风险,所有 macOS Sequoia 用户应立即升级至 15.3 或更高版本。旧版系统仍处于暴露状态,且无其他临时缓解措施。
