信息化觀察網(wǎng)

macOS Mojave可能是目前最安全的一個(gè)計(jì)算機(jī)系統(tǒng)了,但這并不代表它完美無瑕。據(jù)科技博客AppleInside報(bào)道，蘋果公司今天剛發(fā)布macOS Mojave系統(tǒng)就被曝出新的零日漏洞，該漏洞可能會(huì)導(dǎo)致用戶數(shù)據(jù)被泄露。

安全公司Digita Security首席研究員帕克里克·瓦德里(Patrick Wardle)對(duì)這個(gè)明顯漏洞進(jìn)行了介紹。他指出，該漏洞會(huì)允許一款無特殊權(quán)限的應(yīng)用繞過系統(tǒng)內(nèi)建的系統(tǒng)級(jí)權(quán)限，獲取特定應(yīng)用的用戶信息。瓦德里已披露了大量與蘋果相關(guān)的安全問題，最近的一個(gè)是熱門Mac應(yīng)用Adware Doctor秘密記錄用戶信息。

在今年6月舉行的全球開發(fā)者大會(huì)上，蘋果推出了一組增強(qiáng)版macOS安全功能，要求用戶向其他人使用選定的應(yīng)用和硬件提供明確許可。具體來說，用戶需要就Mac攝像頭、麥克風(fēng)、郵件歷史、消息、Safari等信息的訪問提供授權(quán)。

瓦德里向Twitter上傳了一段短視頻，演示了如何繞過其中的至少一個(gè)保護(hù)機(jī)制。他先是利用終端嘗試訪問和復(fù)制聯(lián)系人，結(jié)果失敗，這是在蘋果安全機(jī)制防護(hù)下的一個(gè)預(yù)料之中的結(jié)果。接著，瓦德里又運(yùn)行了一個(gè)無特殊權(quán)限的應(yīng)用，名稱為“入侵Mojave”(breakMojave)，尋找和訪問Mac的通訊錄。

在成功訪問后，瓦德里能夠運(yùn)行一個(gè)目錄命令，查看私人文件夾里的所有文件，包括元數(shù)據(jù)和圖片。瓦德里在接受采訪時(shí)稱，這次演示并不是繞過增強(qiáng)后權(quán)限的“通用方法”，但是可以用于在用戶登錄macOS后獲取受保護(hù)的數(shù)據(jù)。就其本身而言，它不大可能對(duì)多數(shù)用戶造成重大問題，但是可能會(huì)在特定情況下引發(fā)麻煩。

他并未公布這個(gè)漏洞的細(xì)節(jié)以保護(hù)公眾，但表示他演示這一漏洞為了吸引蘋果的注意，因?yàn)樵摴静]有為Mac設(shè)立漏洞獎(jiǎng)勵(lì)機(jī)制。

蘋果在2016年推出了iOS漏洞獎(jiǎng)勵(lì)計(jì)劃，對(duì)安全啟動(dòng)固件部分相關(guān)的漏洞最高獎(jiǎng)勵(lì)20萬美元。不過，蘋果并未為Mac設(shè)立一個(gè)類似的獎(jiǎng)勵(lì)機(jī)制。隨著這一漏洞的公開，蘋果肯定會(huì)詢問漏洞細(xì)節(jié)，并在下一個(gè)更新中打上補(bǔ)丁。

（原標(biāo)題：剛發(fā)布就出問題新macOS零日漏洞或?qū)е掠脩魯?shù)據(jù)泄露）