官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
研究人员发现macOS存在一个高危安全漏洞(CVE-2025-43530),攻击者可借此完全绕过透明化、同意与控制(TCC)保护机制。该漏洞通过VoiceOver屏幕阅读器框架中的com.apple.scrod服务实现攻击。
漏洞技术细节
| 字段 | 详情 |
|---|---|
| CVE编号 | CVE-2025-43530 |
| 漏洞类型 | 通过私有API实现的TCC绕过 |
| 受影响组件 | ScreenReader.framework(VoiceOver)、com.apple.scrod MIG服务 |
| 攻击向量 | 本地动态库注入或TOCTOU攻击 |
| 影响范围 | 完全绕过TCC、执行任意AppleScript、访问敏感用户数据 |
VoiceOver作为苹果为视障用户开发的内置辅助工具,运行时具有特殊系统权限,可广泛访问用户数据。攻击者利用该服务可执行任意AppleScript命令,并向包括Finder在内的任何应用发送AppleEvent,从而规避TCC安全控制。
攻击原理分析
该漏洞存在两种攻击方式:首先,攻击者可将恶意代码注入苹果签名的系统二进制文件,此过程无需管理员权限。验证逻辑错误地信任所有苹果签名代码,无法区分合法系统进程与遭篡改进程。
其次,通过"检查时间与使用时间差"(TOCTOU)攻击,攻击者可在安全验证与执行之间操纵应用程序来绕过验证检查。两种方式结合可轻松实现完全TCC绕过。
漏洞危害评估
成功利用该漏洞后,攻击者能在无用户通知或授权的情况下:读取敏感文档、访问麦克风、与Finder交互、执行任意AppleScript代码,致使macOS的TCC保护机制完全失效。
苹果已在macOS 26.2中通过实施更强大的基于权限的验证系统修复该漏洞。新补丁要求进程必须具有特定"com.apple.private.accessibility.scrod"权限,并通过客户端审计令牌直接验证该权限,而非采用基于文件的验证方式。此方案同时消除了代码注入漏洞和TOCTOU时间差问题。
据GitHub上发布的jhftss报告显示,该漏洞已有公开可用的PoC,表明很可能存在活跃攻击。所有macOS用户应立即升级至26.2或更高版本以防范此高危TCC绕过漏洞。
参考来源:
New macOS TCC Bypass Vulnerability Allow Attackers to Access Sensitive User Data
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)