Meccha Chameleon 中的两次点击远程代码执行漏洞
本文披露了 Meccha Chameleon 软件中存在的一个严重安全漏洞,攻击者仅需两次点击即可实现远程代码执行。该漏洞影响了软件的更新机制,允许恶意行为者通过伪装成合法更新包来执行任意代码。文章详细分析了漏洞的技术原理、攻击路径以及相应的修复建议,提醒用户及时更新软件以防范潜在风险。
背景速读
- Meccha Chameleon 是一款针对 macOS 的剪贴板管理工具,允许用户保存、搜索和管理复制过的文本/图片,常用于提高工作效率。
- 作者发现该应用的 macOS 菜单栏辅助功能中存在严重漏洞——只需用户点击两次即可触发远程代码执行(RCE),攻击者可借此完全控制受害者电脑。
- 漏洞根源是应用对网页内容(如 HTML 格式的剪贴板数据)的解析方式不安全,未对 JavaScript 或外部链接进行充分过滤/沙盒化。
- 该项目现已修复漏洞,但此类事件提醒 macOS 用户:即使看似简单的日常工具,若处理外部输入(剪贴板内容)不当,也可能成为攻击入口。