苹果推出M1芯片已经将近半年,但针对该芯片的恶意软件从GoSearch22到Silver Sparrow再到最近的XCSSET,层出不穷。甚至最新的恶意软件XCSSET不仅可以攻击M1芯片,还可以窃取QQ、微信等主流应用的数据。 4月19日,Trend Micro 专家发现,原先针对苹果开发人员的恶意软件XCSSET,现已重新设计,瞄上了装载苹果M1芯片的新产品。此外,该软件还实现了针对加密货币应用的数据窃取功能。 XCSSET重新设计,针对M1、QQ、微信、加密货币 XCSSET最初是趋势科技在2020年8月发现…

2021年4月20日 0条评论 41点热度 0人点赞 Admin 阅读全文

安全公司 ZecOps 发表报告称,苹果设备的默认 iOS 邮件应用存在严重漏洞,已被黑客利用发动攻击。ZecOps CEO Zuk Avraham 表示,他发现证据显示,这一漏洞至少在六起网络入侵事件中被利用。苹果发言人承认,iOS 邮件应用存在漏洞,该公司已经开发了一个修复程序,将在即将发布的更新中推出。研究显示,漏洞可以远程触发,在对高端用户的黑客攻击中已经被利用。Avraham 表示,黑客需要先通过邮件应用程序向受害者发送一封表面看空白的电子邮件,强制设备崩溃并重置。这样的崩溃就为黑客窃取设备上照片和联系人…

2020年4月24日 0条评论 263点热度 0人点赞 Admin 阅读全文

隐私和安全一直以来都是 Apple 的核心竞争力之一,但最近一位安全专家却从 macOS Catalina 中发现一个可能会导致电子邮件泄露的 BUG。 据这位名为 Bob Gendler 的安全专家介绍,他在试图弄清 macOS 和 Siri 如何向用户提供建议时,发现了 macOS 的数据库文件,该文件存储了 Mail 应用和其他应用程序的信息,然后 Siri 使用这些文件更好地向用户提供建议信息。 而在这个文件中,Gendler 发现了名为 snippets.db 的文件,其中储存了一些未加密的电子邮件文本,…

2019年11月18日 0条评论 197点热度 0人点赞 Admin 阅读全文

iPhone 的「越狱」,或说是解除苹果对软件核心的写入锁定,在早年是相当盛行的事,因为许多苹果原厂未提供的功能(像是 App Store 出来前要安装第三方应用),都要越狱之后才能拥有。不过随着 iOS 功能逐年增进,虽然说一代一代的 iOS 都还是有越狱的方法推出,但对大部份消费者来说,越狱已经不再是会去考量的因素了。 但 Twitter 用户 Axi0mX 发现的这个被取名为「checkm8」的漏洞,依然有着极高的重要性。相对于在 iOS 之中寻找可以利用的漏洞,Axi0mX 是在 iPhone 手机的 bo…

2019年9月28日 0条评论 159点热度 0人点赞 Admin 阅读全文

苹果将发现漏洞的最高赏金提高到一百万美元。在拉斯维加斯举行的 Black Hat 会议上,苹果宣布扩大 bug 悬赏范围,从 iPhone/iOS 扩大到 Mac/macOS 到 watchOS 和 Apple TV。此前苹果的最高赏金是 20 万美元,并且要求必须通过它的 bug 悬赏计划。现在赏金金额增加到 100 万美元,并且对所有安全研究人员开放。这是大型科技公司至今提供的金额最高的悬赏。苹果还将向参与者提供开发者版设备,允许安全研究人员更深入的查看系统运作。  

2019年8月9日 0条评论 240点热度 0人点赞 Admin 阅读全文

据说这些漏洞在黑市上的价值最多可达到 500 万美元一个。在本月上线的 iOS 12.4 更新中,苹果修复了六个非常严重的安全漏洞。不过时至今日我们才知道,发现这些漏洞并提醒苹果的幕后功臣,原来是 Google Project Zero 抓 bug 队的成员 Natalie Silvanovich 和 Samuel Groß。在即将于下周在赌城举行的黑帽安全大会上,Silvanovich 将会分享相关细节,并且在现场进行攻击的演示。 这次 Google 团队发现的是一种「无互动」漏洞,骇客可以在远端的 iOS 设备…

2019年8月1日 0条评论 191点热度 0人点赞 Admin 阅读全文

假如你错过了前阵子最新支持的 iOS 12.1.3~12.2 越狱,苹果又在这周替iPhone、iPad及 iPod 发布 iOS 12.4 正式版本,许多人也许会问能够升级上去吗?在最新版本上也修补了不少安全漏洞,这里建议想越狱用户请勿升级至 iOS 12.4,尽量维持在旧版本上。 在iOS 12.4 上也能确定会修补旧版本上所发现漏洞,能够让越狱工具能够支持也将会面临极大挑战,也许可能会等待iOS 13 正式版发布后才可能会出现;毕竟近年越狱支持速度已经越来越慢,大多是要等待安全团队成员或开发者发布漏洞代码才有…

2019年7月28日 0条评论 696点热度 0人点赞 Admin 阅读全文

VLC 播放器的最新版本曝出了一个远程代码执行高危漏洞,其威胁评分为 9.8/10。远程匿名攻击者可利用该漏洞执行任意代码,导致拒绝服务条件,信息泄露或文件操纵。漏洞编号为 CVE-2019-13615,其利用不需要提权或用户互动。特制的 .MP4 文件据报道能触发漏洞利用。漏洞影响最新版本的 VLC 3.0.7.1,旧版本可能也存在相同问题。VLC 开发者正在加紧制作修复补丁。

2019年7月24日 0条评论 213点热度 0人点赞 Admin 阅读全文

iDA Pro 7.2 交互式反汇编器专业破解版反编译工具(Windows) http://www.macfans.org/thread-36676-1-1.html JetBrains Rider 2019.1.2 破解版 Mac 独立跨平台 C# IDE 开发环境软件 http://www.macfans.org/thread-36677-1-1.html IntelliJ IDEA Ultimate Edition 2019.1.3 破解版 Mac 强大的 Java IDE 开发工具 http://www.m…

2019年6月27日 0条评论 553点热度 0人点赞 Admin 阅读全文

PC-Doctor是国外的一款计算机硬件检测和清理优化工具,有着相当长的应用历史,很多计算机设备生产厂商基于其组件构建了自己的计算机管理软件,并预装进设备获得了大量分发,因此本次发现的漏洞将影响全球范围内数以亿计的计算机设备。 来自SafeBreach的专家发现大多数戴尔PC上预装的戴尔SupportAssist软件存在DLL劫持漏洞(CVE-2019-12280),具备普通用户权限的攻击者可利用该漏洞在特定位置植入恶意DLL文件来利用提升的权限执行任意代码,漏洞的根本原因是缺乏安全的DLL加载以及缺少针对二进制文…

2019年6月25日 0条评论 663点热度 0人点赞 Admin 阅读全文

“不要因为一个网站在浏览器地址栏中有一个锁的标识或“https”就信任它。” 美国联邦调查局(FBI)就HTTPS网络钓鱼案件的上升发出了公开警告。 几周前,Anti-Phishing Working Group发布了一份报告,称他们在2019年第一季度追踪的钓鱼网站中,58%使用HTTPS,甚至有些估计认为这个数字高达90%。 我们很难不将其归因于免费的SSL证书。提供免费证书是一件很好的事情,它的目的是帮助互联网服务不足的部分,我们对此表示赞赏,但正如FBI指出的,网络钓鱼的存在使得人们不得不改变以往看待安全的…

2019年6月25日 0条评论 503点热度 0人点赞 Admin 阅读全文

数百万台戴尔电脑预装的软件 SupportAssist 曝出了一个严重的安全漏洞,漏洞细节没有披露,只是表示远程攻击者可以利用该漏洞完全控制受影响的机器。SupportAssist 由 PC Doctor 开发,用于主动监视机器,自动检测故障并通报戴尔。受影响的版本是 Dell SupportAssist for Business PCs version 2.0 和 Dell SupportAssist for Home PCs version 3.2.1 以及所有旧版本,戴尔建议客户尽可能快的更新到新版本 v2.…

2019年6月23日 0条评论 416点热度 0人点赞 Admin 阅读全文

Firefox 刚刚修复的 0day 漏洞被用于攻击 Coinbase 雇员。Coinbase 安全团队的 Philip Martin 称,攻击者组合利用了两个 0day 漏洞,其一是远程代码执行漏洞,其二是沙盒逃脱漏洞。远程代码执行漏洞是 Google Project Zero 安全团队的研究员 Samuel Groß 发现的,他称自己在 4 月 15 日向 Mozilla 报告了这个漏洞。不清楚攻击者是从什么地方获知漏洞细节的,可能是独立发现,也可能是从内部人士获得了信息,或者可能是入侵了 Mozilla 雇员…

2019年6月22日 0条评论 306点热度 0人点赞 Admin 阅读全文