苹果macOS曝三个零日漏洞，可导致Mac电脑被劫持近日，Dropbox团队公开披露了有关苹果macOS操作系统中三个零日漏洞的详细信息。并指出，如果攻击者将这三个漏洞结合起来使用，则可能会导致Mac用户失去对自己设备的控制权。Dropbox团队表示，这三个漏洞分别被追踪为CVE-2017-13890、CVE-2018-4176和CVE-2018-4175。三者结合使用，将赋予攻击者在目标Mac电脑上远程执行任意代码的能力。为了实现这一点，攻击者只需要诱骗受害者访问一个精心设计的恶意网站即可。根据Dropbox团队的说法，这几个漏洞是由网络安全公司Syndis的安全专家发现的。以该公司受雇于Dropbox，对Dropbox的IT基础设施进行渗透测试，而这其中就包括对Dropbox所使用的苹果软件进行安全评估。需要指出的是，这几个漏洞早在今年2月份就已经提交给了苹果安全团队，而苹果公司也在在3月份发布的安全更新中对它们进行了修复。因此，我们强烈建议Mac用户应该养成及时更新系统的好习惯。Dropbox团队表示，这些漏洞会影响到所有运行最新版本Safari浏览器和操作系统的Mac电脑。其中，CVE-2017-13890影响的是macOS CoreTypes组件，在处理恶意网页时会导致自动挂载磁盘映像。CVE-2018-4176源于磁盘映像处理.bundle文件的方式，安装恶意磁盘映像可能导致应用程序的启动。CVE-2018-4175则允许攻击者使用恶意设计的应用程序绕过macOS Gatekeeper安全功能。苹果macOS曝三个零日漏洞，可导致Mac电脑被劫持其实，从Dropbox团队对这三个漏洞的描述我们就可以看出，攻击者完全可以这三个漏洞来绕过代码签名，并执行修改后的终端应用程序版本，从而最终导致任意命令执行。为此，攻击者只需要诱骗受害者使用Safari访问恶意网页，然后将这三个漏洞结合起来使用，就可以实现劫持受害者Mac电脑的目的。