Changpeng “CZ” Zhao，币安的联合创始人及前首席执行官，对针对苹果macOS和iPhone用户的关键漏洞利用发出了警告。

攻击者已积极利用这一零日漏洞来攻击设备，特别是针对基于Intel的Mac，给注重安全的用户，尤其是加密货币领域的用户，带来了严重威胁。

CZ在11月19日的警告中呼吁立即更新以防止潜在的安全漏洞。

据SecurityWeek报道，这些被追踪为CVE-2024-44308和CVE-2024-44309的漏洞是由谷歌的威胁分析小组（TAG）发现的，该小组以监测国家支持的网络威胁而闻名。

这些缺陷使恶意行为者能够执行未经授权的代码，并通过被破坏的网页内容发起跨站脚本攻击。苹果公司此后已发布紧急补丁，目前仍在进行相关工作。

如果你使用基于Intel芯片的Macbook，请立即更新！

保持安全！

CZ暗示加密货币利用：为什么macOS和iPhone用户不断成为攻击目标？

这些漏洞影响苹果软件架构的关键组件，对系统安全有深远的影响。

CVE-2024-44308利用macOS中的JavaScriptCore引擎，允许攻击者通过处理经过特殊设计的网页内容来执行任意代码。

这意味着恶意行为者可能在用户不知情的情况下控制用户的设备，创造未经授权的数据访问、恶意软件注入或更深层次系统攻击的机会。

类似地，CVE-2024-44309针对苹果的WebKit浏览器引擎，该引擎为Safari和其他基于Web的应用程序提供支持。

这个漏洞方便了跨站脚本攻击，黑客通过将恶意脚本注入合法网站或应用来实施攻击。

一旦执行，这些脚本可以窃取敏感数据，劫持用户会话，或将受害者重定向至钓鱼网站。

苹果公司通过在最近的系统更新中实施改进的状态管理和严格检查来解决这些漏洞。

该公司已为macOS Sequoia 15.1.1、iOS 18.1.1和iOS 17.7.2发布了补丁，并敦促所有用户立即更新。

虽然苹果公司对攻击的具体情况保持缄默，但谷歌TAG的发现表明可能涉及高级威胁行为者，可能与国家赞助的活动有关，例如朝鲜的拉撒路黑客组织。

上个月，卡巴斯基透露了朝鲜拉撒路集团对加密货币投资者的复杂网络攻击，该攻击通过一个虚假的区块链游戏进行。

它利用了谷歌Chrome的V8 JavaScript引擎中的零日漏洞。该组织安装间谍软件以窃取钱包凭证，利用生成式AI和社会工程等先进技术。

对加密生态系统的影响：情况会有多糟糕？

作为数字资产的托管者，加密用户常常成为复杂网络攻击的目标。

类似的漏洞可能被武器化用于提取私钥，窃取钱包凭证，或影响加密交易的浏览器扩展。

近期的历史突显了风险。今年早些时候，朝鲜黑客启动了一个针对LinkedIn用户的活动，通过冒充关键公司和个人进行攻击。

同样，他们在今年9月发起了一次新的活动，针对浏览器扩展和视频会议应用程序。

金融利益巨大。利用零日漏洞的黑客可以拦截交易，获取存储的加密货币，甚至安装键盘记录器以监控未来活动。

此外，苹果用户通常因公司的强大安全声誉而被视为抵御威胁，但他们现在不断受到攻击。

今年4月15日，Trust Wallet披露其收到有关针对iOS用户的高风险零日漏洞的可靠情报。该漏洞可能允许黑客未经授权访问个人数据。

据报道，该漏洞在暗网上的售价高达200万美元，利用了iMessage中的漏洞。苹果团队在事态升级之前迅速采取了措施。