據Cyber Security News消息， 微軟威脅情報發現，macOS出現了一個名為“HM Surf”的新漏洞，能允許攻擊者繞過操作系統的透明、同意和控制（TCC）技術，在未經授權的情況下訪問用戶受保護的數據。

該漏洞被追蹤為CVE-2024-44133，能夠被利用收集敏感信息（例如瀏覽歷史記錄），并在未經授權的情況下訪問設備的攝像頭、麥克風和位置。

HM Surf 能夠更改當前用戶的主目錄，修改用戶真實主目錄下的敏感文件，以及運行 Safari 打開一個網頁，該網頁拍攝相機快照并跟蹤設備位置。

Safari 彈出窗口

攻擊者可以執行一些隱秘的操作，例如私下托管快照、保存整個攝像頭數據流、錄制和串流麥克風音頻，以及在小窗口中啟動 Safari 以避免引起注意。

微軟通過 Microsoft Security Vulnerability Research （MSVR） 的協調漏洞披露 （CVD） 與 蘋果分享了這一漏洞發現。目前，只有 Safari 使用 TCC 提供的新保護，微軟正在與其他主要瀏覽器供應商合作，以調查強化本地配置文件的好處。

目前蘋果已在9 月 16 日發布的 macOS Sequoia 最新安全更新中修復了該漏洞。微軟建議macOS 用戶盡快應用 Apple 發布的安全更新。

此前，微軟已發現多個存在于macOS和Linux系統中的漏洞，隨著跨平臺威脅的持續增加，對漏洞發現和威脅情報共享的協調響應將有助于加強保護技術，以保護用戶在所有平臺和設備上的安全。