首页 > 业界 > 关键词 > 漏洞最新资讯 > 正文

苹果在macOS Big Sur 11.3中修复了一个大号安全漏洞

2021-04-28 13:53 · 稿源:cnbeta

经过三个月的 Beta 测试,苹果终于在近日向公众发布了 macOS 11.3 的稳定版本。可知其中包含了一些新功能,以及针对某个已被恶意攻击者利用的大号安全漏洞的修复。基于此,除非出于兼容性的考量而坚持使用 macOS Catalina,建议大家还是尽快通过“系统偏好设置 - 软件更新”来获取并安装更新。

视频截图(来自:ZolloTech / YouTube)

对于 M1 Mac 用户来说,macOS 11.3 Big Sur 更新还包含了针对在 Mac 上运行 iPhone / iPad 应用程序的优化。

比如更高分辨率的全屏显示,调节应用程序窗口的大小。通过应用程序首选项中的“触控替代”功能,为触控与键鼠操作做好映射。以及通过“游戏控制”面板,启用手柄仿真。

如果你已拥有 Xbox Series X / S 或 PlayStation 5 手柄,macOS 11.3 也提供了支持。

此外针对近日发布的 AirTag 智能追踪器,苹果也希望在全球范围内构建面向自家设备的庞大网络,Find My 查找应用已支持相关追踪和发出警报。


macOS 11.3 is Out - Whats New(via)

浏览器方面,Safari 已能够自定义“起始页”(通过重新排列窗口的各个部分),且开发者能够借助相关扩展程序来替换“新建标签页”。

新的 Web 语音 API,允许网站结合语音识别提供更好的可访问性。对于那些希望为 YouTube / 维基百科等网站启用 WebM 视频容器 / Vorbis 音频编解码器支持的人们来说,漫长的等待也已经结束。

其它值得注意的功能,包括 Siri 提供的更多语音选项、Apple Music 的自动播放 / 城市图表、重新设计的 Apple News+ 新闻提要和搜索体验。

能够按照创建日期、优先级、标题和到期日等因素,对日程提醒进行排序。以及服务选项卡中“关于此 Mac”的更多信息,比如 Apple Care+ 承保范围。

PoC.gif

macOS 11.3 中修复了许多已知的程序 Bug,比如将 AirPods 音频路由到不正确的设备时出现的问题。或通过 USB-C 连接外部显示器,但无法以原生分辨率进行工作的问题。

不过最重要的一点,还是此前已被 Cedric Owens 发现、并由 Patrick Wardle 曝光了详情的、此前已被 Shlayer 恶意软件利用的一个严重的安全漏洞。

该漏洞可使恶意攻击者轻松绕过 macOS 上的安全隔离保护措施,甚至能够防止 Gatekeeper 弹出警告提示。如果被其它恶意软件利用(比如勒索软件),后果或更加严重。

Wardle 解释称,尽管 Shlayer 恶意软件看起来并不复杂,但令人惊讶的是,苹果错误在 macOS 安全机制中假设了黑客将无法获得开发者 ID 而面临挫败。

庆幸的是,此安全漏洞已在 macOS 11.3 中得到了修复。此外苹果更新了 XProtect,以使之能够监测并警告是否有任何下载的软件在试图利用旧版 macOS 上的安全漏洞。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • ESET发出警告:假冒微软商店和Spotify网站正在助推恶意软件活动

    Bleeping Computer 报道称,近期通过假冒微软商店、Spotify 和在线文档转换等网站的恶意软件活动有大幅增长的趋势。ESET 威胁检测实验室负责人 Jiri Kropac 在接受采访时称:这些站点旨在向受害者分发恶意软件,以窃取保存在 Web 浏览器中的信用卡和密码等隐私信息。ESET 已经留意到了相关情况、并且正在对此展开持续监测,同时在 Twitter 上发出了相关警告。访问购买:爱奇艺周年庆 - 京东联名年卡5.5折仅138元Jiri Kropac 指出,

  • 3月头号恶意软件:IcedID银行木马跻身恶意软件指数排行榜前十名

    Check Point Research 报告指出,在利用新冠肺炎疫情诱骗新受害者后,IcedID 首次跻身全球恶意软件指数排行榜,位列第二。 2021 年4 月13 日 – 全球领先网络安全解决方案提供商 Check Point ? 软件技术有限公司 (纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research (CPR) 发布了其2021 年3 月最新版《全球威胁指数》报告。研究人员报告称,IcedID 银行木马首次进入该指数榜单,位列第二,同时 Dridex 老牌木马从2 月

  • 英国NCSC针对一个新Android恶意软件向民众发出警告信息

    据外媒报道,现在不少英国人已经收到了一条有关“错过包裹快递”的短信,实际上这里面包含了有Android恶意软件的追踪应用安装链接。对此,英国国家网络安全中心(NCSC)决定向民众发出一些正式的指导以此帮助他们避开这些骗局。据悉,这是另一个极其可恶的Android恶意软件--FluBot。据NCSC披露称,这种新的Android恶意软件会通过提示用户点击错过包裹通知文本下载跟踪应用来伪装自己,此时间谍软件就会开始行动--它可以窃取用户密码?

  • 研究发现:攻击者正在使用Slack、Discord传递和控制恶意软件

    最新研究显示,在远程工作时代,网络犯罪分子越来越多地利用Discord和Slack等协作应用中的工具来分发和控制恶意软件。在冠状病毒大流行期间,思科Talos Intelligence的研究人员追踪到使用远程协作平台的攻击显著增加。这包括远程访问特洛伊木马(RAT)、信息窃取者、物联网恶意软件和其他威胁。研究人员指出,向远程工作的转变和对协作工具的日益依赖是攻击增加的原因。利用协作工具的网络罪犯并不新鲜。但是,对工作应用程序的依?

  • Joker恶意软件感染超过50万台华为Android设备

    超过50万名华为用户从该公司的官方安卓商店下载了感染Joker恶意软件的应用,订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用,这些应用含有连接到恶意命令和控制服务器以接收配置和附加组件的代码。反病毒厂商Doctor Web的一份报告指出,这些恶意应用保留了其宣传的功能,但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉,受感染的应用程序要求访问通知,这使得他们能够拦截订阅服务通过短信传?

  • 百度诉激情百度酒吧胜诉 法院:百度具有跨界经营能力

    2019年,百度公司将位于南京曼度广场内的“激情百度酒吧”,诉至南京市中院。百度公司认为,该酒吧在宣传海报、公众号等均使用“百度”及含“百度”商标,侵犯了商标专用权。

  • 2021 年移动安全报告:97% 的组织面临着移动恶意软件攻击

    Check Point《2021 年移动安全报告》显示,在过去一年中,全球几乎每个组织都经历了一次移动恶意软件攻击 新报告揭露了从恶意应用到勒索软件攻击等对企业移动设备的最新威胁,并首次探讨了从企业移动设备管理系统下手的攻击 ?2020 年,97% 的组织面临着使用多种攻击向量发起攻击的移动威胁 ?46% 的组织至少有一名员工下载了恶意移动应用 ? 全球至少有40% 的移动设备存在固有的网络漏洞 2021 年4 月,全球领先的网络安全解决方案提

  • Gigaset Android更新服务器遭遇黑客攻击 并在用户设备上安装恶意软件

    Gigaset 透露,在其 Android 设备上发现的恶意软件感染事件,是由外部更新服务提供商的服务器遭到黑客攻击而导致的。这家德国电信设备制造商表示,此事似乎可追溯到 3 月 27 日,受影响的智能机型号包括 GS100、GS160、GS170、GS180、GS270(plus)、以及 GS370(plus)等系列。通过与安装的系统更新 App 下载并安装,这批恶意软件的形式也是五花八门。Gigaset 表示已及时向更新服务提供商发出了警告,并在 4 月 7 日阻断了进一步?

  • 黑客组织从勒索软件网站上删除了被盗的苹果原理图和勒索威胁

    一个上周从苹果供应商广达电脑公司盗取原理图并威胁要公布文件库的勒索软件集团已神秘地从其暗网博客上删除了所有与勒索企图有关的内容。被称为REvil的勒索软件集团上周二声称,它已经进入了广达公司的内部电脑,并设法获得了一些未发布的苹果产品的图像和原理图。该组织最初要求广达支付5000万美元以恢复这些文件。然而,根据该黑客组织网站4月20日发布的声明,广达公司拒绝支付赎金,这导致犯罪分子转而向苹果公司要钱。为了证明

  • Passwordstate密码管理器遭黑客入侵 在客户系统上部署恶意软件

    The Record 报道称,某神秘黑客攻破了企业密码管理器应用程序的更新机制,并在其用户设备(大多数为企业客户)上部署了恶意软件。今天早些时候,澳大利亚软件公司 Click Studios 已经向 2.9 万名客户发去了电子邮件通知。由波兰科技新闻网站 Niebezpiecznik 获得的通告副本可知,带有恶意软件的更新包,在 4 月 20 ~ 22 日期间持续传播了 28 个小时。官网介绍(来自:Click Studios)丹麦安全公司 CSIS 今日发布了针对该供应链恶意

  • 百度制造“人气”

    百度以往的搜索是既定内容的发现过程,不需要人和人的连接,但百度人格化则重塑了这种连接,每个结果都是一个鲜活的人、知识提供者。

  • 百度APP Slogan悄然更改:“百度一下 你就知道”换了

    近日,有网友发现,百度APP启动页的Slogan已经由“百度一下,你就知道”更换为“百度一下,生活更好”。业内认为,新Slogan或意味着百度将进一步发力生活服务。不过目前网页端百度搜索网站还是“百度一下,你就知道”。百度一下,狭义上是指到百度网站搜索一下;广义上,泛指通过互联网搜索引擎搜索一下。曾几何时,“百度一下”是现已成为搜索的代名词。早在2005年年初,百度确定了其品牌广告语“百度一下,你就知道”。这不仅仅?

  • 百度沈抖:百度智能小程序是行业唯一真正开源平台

    沈抖表示:「百度从做智能小程序的第一天开始就打造真正开源开放的生态,也是目前业内唯一真正开源平台。」沈抖称希望大家都能开放、开源,让互联网能重归互联互通的状态。据统计,目前百度智能小程序已经接入69个开源联盟的合作伙伴。目前百度智能小程序月活4.2亿,入驻智能小程序数量66万,月活超百万的智能小程序233个、过亿的智能小程序6个。

  • 百度App将slogan悄然更改为:“百度一下,生活更好”

    日前,百度App已将slogan由“百度一下,你就知道”更换为“百度一下,生活更好”。业内认为,新slogan或意味着百度将进一步发力生活服务。

  • 百度回应陶琳词条被修改

    昨日,网友发现百度百科“陶琳”词条发生了两次编辑,同时把之前在央视、百度等的工作经历删除。对此,百度百科在昨日晚间回应称,百度百科是开放平台,每个人都可以编辑。“陶琳”词条近期存在两次编辑,编辑账号系百科平台用户

  • 百度关联公司申请“知道鸭”商标

    企查查APP显示,近日,百度在线网络技术(北京)有限公司新增“知道鸭”商标申请信息,国际分类为设计研究,商标状态为“注册申请中”。

  • 不受待见的百度终于争口气,更新算法让长和自媒体都是受益者

    百度这次更新的是资讯检索的算法,换句话说,以前新闻时效性的文章,从人工+新闻源识别策略直接进化到纯机器识别分发策略,也就说ai分发这个策略,只要符合标准,直接就可以展现给用户。那么百度这次对新闻资讯的更新,我们来分几个层面来解读。

  • 会玩!百度关联公司申请“知道鸭”商标

    近日,百度在线网络技术(北京)有限公司新增“知道鸭”商标申请信息,国际分类为设计研究,商标状态为“注册申请中”。

  • 百度新闻源算法调整 利好长和家号创作者

    近日,百度搜索资源平台发布公告称,百度新闻检索数据(新闻源)全面升级,分发策略将由人工运营+策略识别调整为纯机器识别。根据公告,升级后只要资源主体是已备案的站点和百家号的内容满足准入要求,无需申请都有机会被百度时效性产品展现,从而获取百度搜索结果页的时效性入口的流量和排名。

  • 传闻百度将推出独立视频剪辑产品“咔剪辑”

    如今短视频创作者数量大增,也带动了视频剪辑软件的火爆。在手机上视频剪辑的门槛已经大大降低,很多人都可以利用手机剪辑软件简单剪出一个效果不错的视频。

  • 热门标签