據(jù)科技博客AppleInsider北京時(shí)間9月25日報(bào)道��,蘋果公司今天向全球用戶推送了最新macOS Mojave系統(tǒng)。但是����,一位安全研究人員稱�,新系統(tǒng)包含一個(gè)安全保護(hù)執(zhí)行漏洞�����,可能會(huì)導(dǎo)致個(gè)人用戶數(shù)據(jù)泄露�。
安全公司Digita Security首席研究員帕克里克·瓦德里(Patrick Wardle)對這個(gè)明顯漏洞進(jìn)行了介紹��。他指出,該漏洞會(huì)允許一款無特殊權(quán)限的應(yīng)用繞過系統(tǒng)內(nèi)建的系統(tǒng)級權(quán)限�����,獲取特定應(yīng)用的用戶信息。瓦德里已披露了大量與蘋果相關(guān)的安全問題�����,最近的一個(gè)是熱門Mac應(yīng)用Adware Doctor秘密記錄用戶信息����。
在今年6月舉行的全球開發(fā)者大會(huì)上,蘋果推出了一組增強(qiáng)版macOS安全功能�,要求用戶向其他人使用選定的應(yīng)用和硬件提供明確許可�����。具體來說����,用戶需要就Mac攝像頭����、麥克風(fēng)��、郵件歷史���、消息����、Safari等信息的訪問提供授權(quán)��。
瓦德里向Twitter上傳了一段短視頻�����,演示了如何繞過其中的至少一個(gè)保護(hù)機(jī)制�����。他先是利用終端嘗試訪問和復(fù)制聯(lián)系人,結(jié)果失敗,這是在蘋果安全機(jī)制防護(hù)下的一個(gè)預(yù)料之中的結(jié)果�����。接著�����,瓦德里又運(yùn)行了一個(gè)無特殊權(quán)限的應(yīng)用�����,名稱為“入侵Mojave”(breakMojave)����,尋找和訪問Mac的通訊錄。
在成功訪問后�,瓦德里能夠運(yùn)行一個(gè)目錄命令,查看私人文件夾里的所有文件�,包括元數(shù)據(jù)和圖片��。瓦德里在接受采訪時(shí)稱��,這次演示并不是繞過增強(qiáng)后權(quán)限的“通用方法”����,但是可以用于在用戶登錄macOS后獲取受保護(hù)的數(shù)據(jù)���。就其本身而言����,它不大可能對多數(shù)用戶造成重大問題�����,但是可能會(huì)在特定情況下引發(fā)麻煩�。
他并未公布這個(gè)漏洞的細(xì)節(jié)以保護(hù)公眾����,但表示他演示這一漏洞為了吸引蘋果的注意����,因?yàn)樵摴静]有為Mac設(shè)立漏洞獎(jiǎng)勵(lì)機(jī)制��。
蘋果在2016年推出了iOS漏洞獎(jiǎng)勵(lì)計(jì)劃�,對安全啟動(dòng)固件部分相關(guān)的漏洞最高獎(jiǎng)勵(lì)20萬美元��。不過,蘋果并未為Mac設(shè)立一個(gè)類似的獎(jiǎng)勵(lì)機(jī)制��。隨著這一漏洞的公開��,蘋果肯定會(huì)詢問漏洞細(xì)節(jié),并在下一個(gè)更新中打上補(bǔ)丁�。
鄂公網(wǎng)安備 42112402000149號(hào)