macOS权限弹窗漏洞:TCC, Who?
2025-05-12
近期修补的macOS漏洞CVE-2025-31250允许应用程序伪造系统权限弹窗,欺骗用户授权。攻击者利用Apple Events和TCC(透明度、控制和通讯)系统中的漏洞,将弹窗显示的应用程序与实际获得权限的应用程序分离。此漏洞利用了TCC守护进程中处理Apple Events权限请求的逻辑错误,无需创建伪造应用程序或覆盖Dock快捷方式。该漏洞已被修复,但凸显了系统权限管理的复杂性和潜在风险。
(wts.dev)
科技