新的macOS漏洞允许恶意应用绕过安全检查 媒体

• 2025-11-13 20:07:19

macOS Archive Utility 存在新漏洞

关键要点

近期，安全研究人员发布了关于 macOS Archive Utility 中一个新漏洞的详细信息，该漏洞可能被利用执行恶意应用程序，从而绕过 Apple 的安全检查。此漏洞编号为 CVE200232910，是由 Apple 设备管理公司 Jamf Threat Labs 在 macOS Monterey 125 中发现的。Jamf 在其近期的博客中指出，这个新缺陷“可以通过使用特制的归档文件，导致在不显示安全提示的情况下执行未签名和未 notarized 的应用程序”。

Jamf 于 2022 年 5 月 31 日将其调查结果报告给了 Apple。Apple 表示，已于 2022 年 7 月在 macOS Big Sur 1168 和 Monterey 125 中修复了此问题。科技巨头还修订了 10 月 4 日发布的安全通告，新增了这个漏洞的说明。

根据 Jamf 的说法，问题始于其研究人员发现 Safari 中存在一个漏洞，该漏洞可以利用一个特制的 ZIP 归档文件绕过 Mac 端点安全，漏洞编号为 CVE202222616。Jamf 在向 Apple 报告此漏洞后，测试了其他归档功能，发现了 macOS Archive Utility 的缺陷。

“我们发现，使用类似的命令创建 Apple Archive 也会导致在执行时绕过 Gatekeeper 和所有安全检查，”Jamf 在博客中指出。

尽管这个命令看起来像是用于攻击 CVE202222616 的 ZIP 命令，但 Jamf 表示，这个缺陷与材料清单BOM无关。

Apple Archive 是该公司专有的格式，允许多线程无损压缩，其文件在 Finder 中显示为扩展名为 “aar”。但值得注意的是，该漏洞并不仅限于 Apple Archive。

Jamf 解释说，当文件从互联网下载时，归档文件会带有一个名为 “comapplequarantine” 的扩展属性。这个属性告诉 macOS 该文件是来自远程源，必须在允许运行之前检查。当 Archive Utility 提取一个归档时，它会将隔离属性应用于所有提取的项目，以确保任何打开的可执行文件会经过 Gatekeeper 的检查。

然而，研究人员发现，在某些情况下，Archive Utility 未能将某些解压的文件标记为隔离属性。因此，Gatekeeper 在文件运行之前无法检查这些文件。这个缺陷可能导致恶意应用程序自动运行，而用户根本没有收到任何通知。

Jamf 的首席信息安全官 Aaron Kiemele 向 SC Media 表示，关注基础安全可以降低新出现漏洞的风险。

“操作系统和应用程序需要定期更新，反恶意软件软件在未应用补丁的情况下也能提供帮助，”Kiemele 说。“这两种控制措施，即有效的设备管理和反恶意软件，相互支持以降低安全和隐私风险。”