苹果在上月末的时候修复了 iMessage 中的一个重大安全漏洞,但其实在当时同一轮的软件更新中,他们也有解决另一个潜在的问题,只是一直等到今天,安全专家才出来解释了一番究竟。具体来说,这个漏洞让骇客能仅凭伪装的 JavaScript 链接向 OS X El Capitan 用户发起 XSS 攻击。如跳转后的视频所示,只要点击了 Messages 里有问题的链接,你的聊天记录及附件就会被自动上传到远端服务器之上。
照理来说,这种攻击手法在浏览器上会比较常见,但根据专家的说法,通过 WebKit 之类的引擎也能将其带入很多其它应用之中。不管怎么说,在升级到最新的 OS X 版本后,至少在目前,这方面的风险应该已降低了不少。但就算如此,看到链接点下去的时候最好还是多长个心眼喔。