苹果公司修复了macOS系统中存在的严重漏洞，该漏洞允许攻击者通过发送一个恶意日历邀请，完全访问用户的iCloud账户。漏洞存在于macOS日历应用中，攻击者可以利用它在日历沙盒环境中添加或删除文件，甚至执行恶意代码，访问用户设备上的敏感数据，包括iCloud照片。苹果公司通过多次更新修复了该漏洞，包括加强日历应用内的文件权限管理和增设多重安全防护层。

🍎 该漏洞追踪编号为CVE-2022-46723，攻击者发送一个名为“FILENAME=../../../malicious_file.txt”的文件，可以将文件置于预期目录之外，存放在用户文件系统中更为危险的位置。

💻 攻击者可以利用任意文件写入漏洞进一步升级攻击。他们可以注入恶意日历文件，这些文件设计为在macOS升级时执行代码，尤其是在从Monterey升级到Ventura的过程中。

🛡️ 苹果公司通过多次更新修复了该漏洞，包括加强日历应用内的文件权限管理和增设多重安全防护层以阻断目录遍历攻击。

⚠️ 安全研究员Mikko Kenttala在Medium平台上详细披露了该漏洞，提醒用户及时更新macOS系统以确保安全。

🗓️ 尽管苹果公司已修复漏洞，但用户仍需谨慎对待来自未知来源的日历邀请，并定期更新系统以获得最新安全补丁。

IT之家 9 月 14 日消息，科技媒体 AppleInsider 昨日（9 月 13 日）发布博文，报道存在于 macOS 系统的漏洞，攻击者利用该漏洞仅需发出 1 个日历邀请，就能完全访问用户的 iCloud 账户，苹果公司目前已经修复。

苹果自 2022 年 10 月至 2023 年 9 月间通过多次更新已经修复了该漏洞。这些修复措施包括加强日历应用内的文件权限管理，并增设多重安全防护层以阻断目录遍历攻击。

安全研究员 Mikko Kenttala 于昨日在 Medium 平台发帖，详细披露了存在于 macOS 日历应用中的零点击漏洞，攻击者利用该漏洞可在日历沙盒环境中添加或删除文件。

攻击者还能利用该漏洞执行恶意代码，访问包括 iCloud 照片在内受害者设备上存储的敏感数据。

IT之家从报道中获悉，该漏洞追踪编号为 CVE-2022-46723，攻击者发送一个名为“FILENAME=../../../malicious_file.txt”的文件，可以将文件置于预期目录之外，存放在用户文件系统中更为危险的位置。

攻击者可以利用任意文件写入漏洞进一步升级攻击。他们可以注入恶意日历文件，这些文件设计为在 macOS 升级时执行代码，尤其是在从 Monterey 升级到 Ventura 的过程中。