请尽快升级：苹果 macOS 15 Sequoia 高危漏洞披露，被利用可窃取照片、联系人等敏感数据

科技媒体 9to5Mac 昨日（9 月 4 日）发布博文，报道称苹果 macOS 15 Sequoia 系统存在高危安全漏洞，被黑客利用可窃取用户照片、联系人等受保护文件。

援引博文介绍，该漏洞由安全研究员 Koh M. Nakagawa 发现，并在 Nullcon Berlin 2025 上披露，追踪编号为 CVE-2025-24204。

攻击者利用该漏洞，通过系统调试工具 gcore 的过高权限（com.apple.system-task-ports.read）直接读取任意进程的内存数据，即便系统启用了系统完整性保护（SIP）也无法阻挡。

攻击者利用该漏洞可直接提取 Keychain 的加密主密钥，从而无需用户密码即可解密全部密钥链数据，包括各类账户密码、加密证书等。同时利用该漏洞可以绕过透明化权限控制（TCC）机制，攻击者能窃取照片、联系人等受保护文件。

Nakagawa 最初是在测试微软发布的 ProcDump-for-Mac 工具时意外发现该漏洞。理论上，SIP 应阻止对受保护进程的内存访问，但 gcore 工具被错误授予了系统级权限，使其能转储几乎所有进程的内存内容。

攻击者通过读取 securityd 进程的内存，可恢复用于加密登录钥匙串的主密钥，进而完全解密 Keychain。此外，运行于 Apple Silicon Mac 上的 iOS 应用亦受影响，其加密的二进制文件可在运行时被提取并解密，而此类操作通常需越狱才可实现。

IT 援引博文介绍，苹果在 2025 年发布的 macOS 15.3 更新中移除了 gcore 的问题权限，但从官方安全通告中并未高调说明此事，修复信息仅隐于更新日志中。

虽然通过终端安全框架（Endpoint Security Framework）可监控可疑的 task_read_for_pid 调用，但研究员认为企业实时检测此类攻击难度较大，唯一有效对策仍是尽快升级系统。

为避免潜在风险，所有 macOS Sequoia 用户应立即升级至 15.3 或更高版本。旧版系统仍处于暴露状态，且无其他临时缓解措施。