剛釋出就出問題 新macOS零日漏洞或導致使用者資料洩露

據科技部落格AppleInsider北京時間9月25日報導，蘋果公司向全球使用者推送了最新macOS Mojave系統。但是，一位安全研究人員稱，新系統包含一個安全保護執行漏洞，可能會導致個人使用者資料洩露。安全公司Digita Security首席研究員帕克裡克·瓦德里(Patrick Wardle)對這個明顯漏洞進行了介紹。

他指出，該漏洞會允許一款無特殊許可權的應用繞過系統內建的系統級許可權，獲取特定應用的使用者資訊。瓦德里已披露了大量與蘋果相關的安全問題，最近的一個是熱門Mac應用Adware Doctor祕密記錄使用者資訊。

http://player.youku.com/embed/XMzgzNjc2NDIzNg==（視訊）

在今年6月舉行的全球開發者大會上，蘋果推出了一組增強版macOS安全功能，要求使用者向其他人使用選定的應用和硬體提供明確許可。具體來說，使用者需要就Mac攝像頭、麥克風、郵件歷史、訊息、Safari等資訊的訪問提供授權。

瓦德里向Twitter上傳了一段短視訊，演示瞭如何繞過其中的至少一個保護機制。他先是利用終端嘗試訪問和複製聯絡人，結果失敗，這是在蘋果安全機制防護下的一個預料之中的結果。接著，瓦德里又執行了一個無特殊許可權的應用，名稱為“入侵Mojave”(breakMojave)，尋找和訪問Mac的通訊錄。

在成功訪問後，瓦德里能夠執行一個目錄命令，檢視私人資料夾裡的所有檔案，包括後設資料和圖片。瓦德里在接受採訪時稱，這次演示並不是繞過增強後許可權的“通用方法”，但是可以用於在使用者登入macOS後獲取受保護的資料。就其本身而言，它不大可能對多數使用者造成重大問題，但是可能會在特定情況下引發麻煩。

他並未公佈這個漏洞的細節以保護公眾，但表示他演示這一漏洞為了吸引蘋果的注意，因為該公司並沒有為Mac設立漏洞獎勵機制。

蘋果在2016年推出了iOS漏洞獎勵計劃，對安全啟動韌體部分相關的漏洞最高獎勵20萬美元。不過，蘋果並未為Mac設立一個類似的獎勵機制。隨著這一漏洞的公開，蘋果肯定會詢問漏洞細節，並在下一個更新中打上補丁。

來源：鳳凰網科技

宣告：本網站所提供的資訊僅供參考之用，並不代表本網站贊同其觀點，也不代表本網站對其真實性負責。 

看雪閱讀推薦：

1、[原創] 打造Wi-Fi “DOS”攻擊工具——Wi-Fi_deauther

2、[原創]8月29號網鼎杯pwn1-impossible簡單除錯過程

3、[原創]bindiff基本使用以及小試牛刀

4、[分享]【看雪安全開發者峰會2018】議題：自動逆向機器人

5、[翻譯]ARM彙編簡介（六）堆疊和函式