科技媒体报道称，苹果macOS 15 Sequoia系统存在一处高危安全漏洞（CVE-2025-24204），可被黑客利用窃取用户照片、联系人等受保护文件。该漏洞允许攻击者通过系统调试工具gcore以过高权限读取任意进程内存，绕过系统完整性保护（SIP），进而提取Keychain加密主密钥，解密所有密钥链数据，并访问受TCC机制保护的文件。此漏洞甚至能影响Apple Silicon Mac上的iOS应用，允许运行时提取和解密加密二进制文件。苹果已在macOS 15.3更新中修复了gcore的权限问题，但用户仍需尽快升级系统以防范风险。

🔑 **Keychain数据泄露风险**：该漏洞允许攻击者利用系统调试工具gcore的过高权限，绕过SIP保护，直接读取任意进程内存。通过读取securityd进程内存，攻击者可以恢复用于加密登录钥匙串的主密钥，从而完全解密Keychain中的所有账户密码、加密证书等敏感信息，无需用户密码。

🖼️ **绕过TCC保护窃取文件**：攻击者可以利用此漏洞绕过macOS的透明化权限控制（TCC）机制。这意味着攻击者能够访问并窃取用户存储在设备上的受保护文件，例如照片、联系人等个人隐私数据，对用户隐私构成严重威胁。

📱 **影响Apple Silicon Mac上的iOS应用**：该漏洞还对运行在Apple Silicon Mac上的iOS应用造成影响。攻击者可以在运行时提取并解密这些应用的加密二进制文件，这通常是需要越狱才能实现的操作，表明了该漏洞的严重性和广泛性。

🛡️ **修复与升级建议**：苹果已在macOS 15.3更新中移除了gcore工具的问题权限，从而修复了该漏洞。然而，旧版本系统仍处于暴露状态。因此，所有macOS Sequoia用户应立即升级至15.3或更高版本，以避免潜在的安全风险。目前没有其他临时的缓解措施。

IT之家 9 月 5 日消息，科技媒体 9to5Mac 昨日（9 月 4 日）发布博文，报道称苹果 macOS 15 Sequoia 系统存在高危安全漏洞，被黑客利用可窃取用户照片、联系人等受保护文件。

IT之家援引博文介绍，该漏洞由安全研究员 Koh M. Nakagawa 发现，并在 Nullcon Berlin 2025 上披露，追踪编号为 CVE-2025-24204。

攻击者利用该漏洞，通过系统调试工具 gcore 的过高权限（com.apple.system-task-ports.read）直接读取任意进程的内存数据，即便系统启用了系统完整性保护（SIP）也无法阻挡。

攻击者利用该漏洞可直接提取 Keychain 的加密主密钥，从而无需用户密码即可解密全部密钥链数据，包括各类账户密码、加密证书等。同时利用该漏洞可以绕过透明化权限控制（TCC）机制，攻击者能窃取照片、联系人等受保护文件。

Nakagawa 最初是在测试微软发布的 ProcDump-for-Mac 工具时意外发现该漏洞。理论上，SIP 应阻止对受保护进程的内存访问，但 gcore 工具被错误授予了系统级权限，使其能转储几乎所有进程的内存内容。

攻击者通过读取 securityd 进程的内存，可恢复用于加密登录钥匙串的主密钥，进而完全解密 Keychain。此外，运行于 Apple Silicon Mac 上的 iOS 应用亦受影响，其加密的二进制文件可在运行时被提取并解密，而此类操作通常需越狱才可实现。

IT 援引博文介绍，苹果在 2025 年发布的 macOS 15.3 更新中移除了 gcore 的问题权限，但从官方安全通告中并未高调说明此事，修复信息仅隐于更新日志中。

虽然通过终端安全框架（Endpoint Security Framework）可监控可疑的 task_read_for_pid 调用，但研究员认为企业实时检测此类攻击难度较大，唯一有效对策仍是尽快升级系统。

为避免潜在风险，所有 macOS Sequoia 用户应立即升级至 15.3 或更高版本。旧版系统仍处于暴露状态，且无其他临时缓解措施。