科技媒体 9to5Mac 报道，苹果 macOS 15 Sequoia 系统被发现存在高危安全漏洞，攻击者可借此窃取用户照片、联系人等受保护文件。

该漏洞由安全研究员 Koh M. Nakagawa 发现，并在 Nullcon Berlin 2025 上披露，追踪编号为 CVE-2025-24204。

攻击者利用该漏洞，通过系统调试工具 gcore 的过高权限（com.apple.system-task-ports.read）直接读取任意进程的内存数据，即便启用了系统完整性保护（SIP）也无法阻挡。

利用该漏洞，攻击者可直接提取 Keychain 的加密主密钥，从而无需用户密码即可解密全部密钥链数据，包括各类账户密码、加密证书等。同时可绕过透明化权限控制（TCC）机制，窃取照片、联系人等受保护文件。

Nakagawa 最初在测试微软发布的 ProcDump-for-Mac 工具时意外发现该漏洞。理论上，SIP 应阻止对受保护进程的内存访问，但 gcore 被错误授予了系统级权限，使其能转储几乎所有进程的内存内容。

攻击者通过读取 securityd 进程的内存，可恢复用于加密登录钥匙串的主密钥，进而完全解密 Keychain。此外，运行于 Apple Silicon Mac 上的 iOS 应用亦受影响，其加密的二进制文件可在运行时被提取并解密，而此类操作通常需越狱才可实现。

苹果在 2025 年发布的 macOS 15.3 更新中移除了 gcore 的问题权限，但从官方安全通告中并未高调说明此事，修复信息仅隐于更新日志中。

虽然通过终端安全框架（Endpoint Security Framework）可监控可疑的 task_read_for_pid 调用，但研究员认为企业实时检测此类攻击难度较大，唯一有效对策仍是尽快升级系统。

所有 macOS Sequoia 用户应立即升级至 15.3 或更高版本。旧版系统仍处于暴露状态，且无其他临时缓解措施。

免责声明：本文内容由开放的智能模型自动生成，仅供参考。