攻击者利用该漏洞可直接提取 Keychain 的加密主密钥，从而无需用户密码即可解密全部密钥链数据，包括各类账户密码、加密证书等。同时利用该漏洞可以绕过透明化权限控制（TCC）机制，攻击者能窃取照片、联系人等受保护文件。

　　Nakagawa 最初是在测试微软发布的 ProcDump-for-Mac 工具时意外发现该漏洞Shadowrocket 少数派。理论上，SIP 应阻止对受保护进程的内存访问，但 gcore 工具被错误授予了系统级权限，使其能转储几乎所有进程的内存内容。

　　攻击者通过读取 securityd 进程的内存，可恢复用于加密登录钥匙串的主密钥，进而完全解密 Keychain。此外，运行于 Apple Silicon Mac 上的 iOS 应用亦受影响，其加密的二进制文件可在运行时被提取并解密，而此类操作通常需越狱才可实现。

　　IT 援引博文介绍，苹果在 2025 年发布的 macOS 15.3 更新中移除了 gcore 的问题权限，但从官方安全通告中并未高调说明此事，修复信息仅隐于更新日志中。

　　虽然通过终端安全框架（Endpoint Security Framework）可监控可疑的 task_read_for_pid 调用，但研究员认为企业实时检测此类攻击难度较大，唯一有效对策仍是尽快升级系统。

　　为避免潜在风险，所有 macOS Sequoia 用户应立即升级至 15.3 或更高版本。旧版系统仍处于暴露状态，且无其他临时缓解措施。

　　广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。