一個該漏洞繞過系統完整性保護,使 Apple 裝置面臨嚴重的安全風險,但安全性修補程式已消除該漏洞。
2025 年 1 月 13 日,微軟威脅情報透露了一個macOS 中的嚴重漏洞 —CVE-2024-44243— 透過利用第三方核心擴充來繞過 Apple 的系統完整性保護 (SIP)。這個問題現已修復,攻擊者可能會從根本上破壞 macOS 的安全性。
系統完整性保護 (SIP) 是一項 macOS 安全功能,旨在保護關鍵系統檔案和進程。它甚至限制具有管理權限的使用者進行可能損害作業系統穩定性和安全性的變更。
SIP 保護敏感系統文件,防止任意核心程式碼執行,並確保應用程式無法載入未經授權的核心驅動程式。
CVE-2024-44243 展示了攻擊者如何透過載入稱為 rootkit 的惡意第三方核心擴充來繞過 SIP 保護。 Rootkit 授予未經授權的存取、安裝持久性惡意軟體、繞過使用者權限並篡改安全機制。
CVE-2024-44243 的工作原理
該漏洞依賴於“權利”,即嵌入 macOS 進程中的特殊權限。這些權利對 SIP 很重要,因為它們控制流程可以做什麼和不能做什麼。
Storagekitd 及其權利。圖片來源:微軟
某些進程為基本系統功能保留了私有權利,例如偵錯或檔案管理。
微軟研究人員發現,攻擊者可以利用授權進程,特別是 storagekitd 守護進程,它透過 Apple 的 Storage Kit 框架管理磁碟狀態。由於 storagekitd 繼承了廣泛的權限,因此它可以產生能夠繞過 SIP 的子進程。
攻擊者可以插入自己的核心擴充功能來獲得對作業系統的控制,而無需使用守護程式進行偵測。
發現該漏洞後,微軟根據其協調漏洞揭露 (CVD) 流程向蘋果揭露了該漏洞。 Apple 在 2024 年 12 月 11 日的安全性更新中解決了 CVE-2024-44243,敦促所有用戶立即更新其 Mac。
如何保護您的 Mac
保護您的 Mac 免受此漏洞影響的最佳方法是確保它運行最新的 macOS 更新。 Apple 在 2024 年 12 月 11 日的安全性修補程式中修復了該問題,因此如果您尚未更新,請務必進行更新。
若要進行檢查,請前往“系統設定”>“常規”>“軟體更新”並安裝任何可用的更新。
如果您使用的是不支援最新 macOS 的舊版 Mac,請密切注意 Apple 的安全性更新,以取得可能仍適用於您的系統的修補程式。避免安裝第三方核心擴充功能也是一個好主意,除非您確定它們來自可信任來源。
您不必擔心意外禁用 SIP。它在 macOS 中預設啟用,停用它需要在復原模式下使用終端執行謹慎的步驟。
