歡迎光臨
每天分享高質量文章

【每日安全資訊】剛發佈就出問題 新macOS零日漏洞或導致用戶資料泄露

據科技博客AppleInsider北京時間9月25日報道,蘋果公司向全球用戶推送了最新macOS Mojave系統。但是,一位安全研究人員稱,新系統包含一個安全保護執行漏洞,可能會導致個人用戶資料泄露。安全公司Digita Security首席研究員帕克裡克·瓦德里(Patrick Wardle)對這個明顯漏洞進行了介紹。

他指出,該漏洞會允許一款無特殊權限的應用繞過系統內建的系統級權限,獲取特定應用的用戶信息。瓦德里已披露了大量與蘋果相關的安全問題,最近的一個是熱門Mac應用Adware Doctor秘密記錄用戶信息。

在今年6月舉行的全球開發者大會上,蘋果推出了一組增強版macOS安全功能,要求用戶向其他人使用選定的應用和硬體提供明確許可。具體來說,用戶需要就Mac攝像頭、麥克風、郵件歷史、訊息、Safari等信息的訪問提供授權。

瓦德里向Twitter上傳了一段短視頻(視頻地址:https://player.youku.com/embed/XMzgzNjc2NDIzNg==),演示瞭如何繞過其中的至少一個保護機制。他先是利用終端嘗試訪問和複製聯繫人,結果失敗,這是在蘋果安全機制防護下的一個預料之中的結果。接著,瓦德里又運行了一個無特殊權限的應用,名稱為“入侵Mojave”(breakMojave),尋找和訪問Mac的通訊錄。

在成功訪問後,瓦德里能夠運行一個目錄命令,查看私人檔案夾里的所有檔案,包括元資料和圖片。瓦德里在接受採訪時稱,這次演示並不是繞過增強後權限的“通用方法”,但是可以用於在用戶登錄macOS後獲取受保護的資料。就其本身而言,它不大可能對多數用戶造成重大問題,但是可能會在特定情況下引發麻煩。

他並未公佈這個漏洞的細節以保護公眾,但表示他演示這一漏洞為了吸引蘋果的註意,因為該公司並沒有為Mac設立漏洞獎勵機制。

蘋果在2016年推出了iOS漏洞獎勵計劃,對安全啟動韌體部分相關的漏洞最高獎勵20萬美元。不過,蘋果並未為Mac設立一個類似的獎勵機制。隨著這一漏洞的公開,蘋果肯定會詢問漏洞細節,併在下一個更新中打上補丁。

*來源:鳳凰網科技

更多資訊

◈ 騰訊安全工程師利用酒店 WiFi 漏洞訪問內部服務器被罰 5000 美元

http://t.cn/EPiNUWV

◈ Cloudflare 支持加密 SNI

http://t.cn/EPiNqdG

◈ 微軟在每一臺 Windows 10 PC 上安裝膨脹軟體

http://t.cn/EPiNf2Z

◈ 知名雲計算公司Zoho域名被禁兩小時:影響3000萬用戶

http://t.cn/EPiNJg5

(信息來源於網絡,安華金和搜集整理)


赞(0)

分享創造快樂