刚刚发布的新macOS零日漏洞或导致用户数据泄漏

时间: 2018-09-25 22:22:00 作者: 管理员

凤凰网科技据科技博客AppleInsider 9月25日报道,北京时间,公司今天将最新的全球用户macOS莫哈韦系统。安全研究人员说,但新系统包括一个安全漏洞,可能导致个人用户数据泄漏。

安全公司该安全首席研究员帕克里克•韦德(帕特里克·瓦尔德)介绍了这种明显的漏洞。他指出,缺陷可能会允许没有特别许可旁路系统内置的应用系统级权限,访问特定应用程序的用户信息。韦德在揭示了大量与苹果相关的安全问题,是一个最近流行的Mac应用程序安装医生记录用户信息秘密。

在今年6月举办的全球开发者大会上,苹果公司推出了一系列的增强版macOS安全功能,需要用户他人使用所选应用程序和硬件提供明确的许可。特别是,用户需要Mac摄像头、麦克风、电子邮件等信息历史,消息,Safari访问授权。

韦德在推特上发布了一个视频,演示了如何绕过保护机制的至少其中之一。他第一次使用终端试图访问和复制的联系人,结果失败了,这是苹果的安全机制的保护下一个预期的结果。然后,韦德先生和运行一个应用程序没有特权,命名为“入侵”莫哈韦(breakMojave),查找和访问Mac地址簿。

成功访问后,韦德先生能够运行一个目录的命令,检查你的个人文件夹中所有的文件,包括元数据和图像。韦德在接受采访时表示,游行不是绕过增强特权“一般方法”,但可以使用用户登录后macOS访问受保护的数据。就其本身而言,它不太可能有重大问题对于大多数用户来说,但是在某些情况下可能会麻烦。

他没有宣布的细节缺陷为了保护公众,但说他证明这一漏洞为了吸引苹果的关注,因为该公司没有设置漏洞Mac的奖励机制。

苹果在2016年推出iOS奖励计划,漏洞安全引导固件相关部分的最高奖200000美元。然而,苹果公司没有设置一个类似激励Mac.As这个漏洞,苹果会问细节,在接下来的更新和补丁。