蘋果釋出macOS Big Sur 11.3，修補已被開採的零時差漏洞

蘋果於本周一（4/26）更新了iOS、iPadOS，以及macOS Big Sur，在最新的macOS Big Sur 11.3中，蘋果除了改善macOS作業系統的能力之外，也修補了逾60個安全漏洞，而當中的CVE-2021-30657傳出已遭駭客開採。

根據蘋果的解釋，CVE-2021-30657漏洞藏匿在系統偏好中，允許惡意程式繞過Gatekeeper的檢查，且是由匿名的研究人員所提供。Gatekeeper是蘋果自2012年開始於macOS中所部署的安全機制，它可偵測及封鎖既有的惡意程式，以及使用者自網路上所下載的惡意檔案，確保macOS只能執行自App Store下載或是取得蘋果開發者憑證的程式。

不過，資安工程師Cedric Owens則出面表示這是他所發現的漏洞，該漏洞自macOS Catalina 10.15就存在，駭客只要打造一個特製的macOS酬載，就能繞過Gatekeeper，使用者唯一需要做的就是雙擊該.dmg檔案，再雙擊該檔案中的假程式，而且macOS不會跳出任何的警告。

另一名資安研究人員Patrick Wardle深究（notarization）了該漏洞，發現此一漏洞事實上允許駭客繞過許多蘋果的核心安全機制，不僅是Gatekeeper，還包括檔案隔離與公證要求，而且當他請求專門打造蘋果生態安全體系安全解決方案的Jamf，尋找是否已有相關的開採程式時，得到了肯定的答案，同時相信針對CVE-2021-30657所設計的開採程式，至少已存在數月之久。

繞過Gatekeeper、檔案隔離與公證要求，意謂著駭客將可在macOS平臺上執行任意程式，而且該漏洞也影響採用M1與macOS Big Sur 11.2.3的Mac電腦。

總之，不管是Owens或Wardle都呼籲macOS用戶，應儘快升級至macOS Big Sur 11.3。

至於macOS Big Sur 11.3在功能上的改善，則與iOS 14.5頗為類似，包括新增了對AirTag的支援，改善了Siri、播客（Podcasts）與新聞服務。該版也更新了Safari瀏覽器，允許使用者客製化Safari的起始頁面，新增對Web Speech API的支援，以讓開發者可在網頁上嵌入語音辨識功能，並提供即時的字幕、聽寫及語音導航能力