根据 The Hacker News 的报道,CocoaPods 依赖管理器中出现的三项漏洞可能会被利用在供应链攻击中,对广泛使用的 iOS 和 macOS 应用造成影响。这些漏洞已在 10 月份得到了修复。
其中最严重的问题是一个不安全的电子邮件验证工作流程,标识为 CVE202438366,攻击者能够利用这一漏洞在 Trunk 服务器上执行任意代码,从而允许对软件包的操控和替换,具体细节由 EVA 信息安全公司提供。此外,另一个关键漏洞 CVE202438368 可能被利用进行包接管、源代码篡改和恶意代码注入。而另一个高危邮件地址验证漏洞,标识为 CVE202438367,可用于诱导目标点击恶意验证链接,进而获得开发者会话令牌的访问权限。
研究人员表示:“我们发现几乎每个 pod 所有者都使用了其组织的电子邮件在 Trunk 服务器注册,这使得他们容易受到我们的零点击接管漏洞。”
这些漏洞的存在让依赖于 CocoaPods 的应用程序面临潜在威胁。开发者需要及时更新依赖项,并审查代码,以确保安全性。相关的安全措施包括: 定期更新依赖项和检查已知漏洞。 使用安全的电子邮件地址和将敏感信息与代码库分离。
了解这些漏洞及其解决方案对于开发者来说至关重要,以保护应用程序免受潜在的安全威胁。
蚂蚁加速npv下载2.2.24
