谷歌：蘋(píng)果又讓一個(gè)macOS大漏洞晾了90天

　　據(jù)外媒報(bào)道，大約五年前，谷歌成立了Project Zero研究小組，以減少零日攻擊對(duì)用戶(hù)的影響。自那以來(lái)，谷歌向蘋(píng)果等公司報(bào)告了大量漏洞�，F(xiàn)在，Project Zero團(tuán)隊(duì)又披露了另一個(gè)“非常嚴(yán)重”的macOS內(nèi)核漏洞——該漏洞允許攻擊者控制Mac電腦——而且，蘋(píng)果把這個(gè)漏洞晾了90天時(shí)間沒(méi)管。

　　而在去年10月，谷歌曾指責(zé)蘋(píng)果花了太長(zhǎng)時(shí)間修復(fù)漏洞。

　　最新的macOS漏洞可能會(huì)影響數(shù)百萬(wàn)個(gè)Mac電腦用戶(hù)，但這不是完全是因?yàn)橥婧雎毷厮�致。該漏洞可以讓攻擊者悄悄地修改已掛載的磁盤(pán)映像，然后侵入和控制MacOS的內(nèi)存管理系統(tǒng)，使Mac電腦運(yùn)行修改后的代碼。

　　這個(gè)漏洞之所以如此嚴(yán)重，是因?yàn)橛脩?hù)總是掛載著磁盤(pán)映像，而MacOS在管理其有限內(nèi)存的過(guò)程中會(huì)自動(dòng)清除和重新加載內(nèi)容，但不會(huì)重新檢查磁盤(pán)映像。正因?yàn)槿绱�，Mac電腦將不會(huì)知道它正在復(fù)制、修改并執(zhí)行潛在的惡意代碼。

　　盡管這聽(tīng)起來(lái)很危險(xiǎn)，但Project Zero團(tuán)隊(duì)表示，蘋(píng)果意識(shí)到了這個(gè)問(wèn)題，并計(jì)劃在未來(lái)的MacOS更新程序中修復(fù)它。自谷歌將該漏洞向蘋(píng)果報(bào)告以來(lái)，時(shí)間已經(jīng)過(guò)去了90天。研究人員正在與蘋(píng)果合作開(kāi)發(fā)一個(gè)安全補(bǔ)丁，但目前還沒(méi)有發(fā)布補(bǔ)丁的時(shí)間表。

　　除了被谷歌批評(píng)解決漏洞太遲緩之外，蘋(píng)果最近還因其解決漏洞的做法而遭到批評(píng)。

　　它明顯忽略了其視頻通話(huà)軟件FaceTime中的一個(gè)令人震驚的漏洞，盡管有多個(gè)用戶(hù)向它報(bào)告這個(gè)漏洞。直到新聞報(bào)道和社交媒體帖子開(kāi)始大肆報(bào)道這個(gè)安全漏洞，蘋(píng)果才開(kāi)始重視起來(lái)。

　　上個(gè)月，一名德國(guó)研究人員批評(píng)蘋(píng)果公司沒(méi)有給報(bào)告MacOS漏洞的研究人員提供賞金，因此他拒絕向蘋(píng)果披露一個(gè)嚴(yán)重的與密碼相關(guān)的漏洞。但后來(lái)，他改變了主意。