【ITBEAR科技資訊】8月22日消息,網(wǎng)絡(luò)安全專家Jeff Johnson于2022年10月向蘋果公司報(bào)告了一個(gè)在macOS系統(tǒng)中發(fā)現(xiàn)的應(yīng)用程序管理漏洞。然而,到了2023年8月,該漏洞依然未被蘋果公司修復(fù)。這個(gè)漏洞據(jù)稱允許應(yīng)用程序繞過操作系統(tǒng)的沙箱保護(hù),獲得最高權(quán)限,并在未經(jīng)用戶許可的情況下對(duì)其他應(yīng)用程序進(jìn)行修改和信息獲取。
據(jù)了解,Jeff Johnson曾在去年10月在個(gè)人博客上發(fā)布博文,簡(jiǎn)要提及了關(guān)于App Management漏洞的5種潛在利用方式,并暗示已經(jīng)察覺到第六種方式。他還表示,發(fā)現(xiàn)漏洞后立即向蘋果公司報(bào)告,并獲得了蘋果公司的確認(rèn)回應(yīng)。然而,漏洞至今未被修復(fù)。
Jeff Johnson近日在他的博客中詳細(xì)解釋了這一漏洞的工作原理。他詳細(xì)描述了應(yīng)用程序如何利用該漏洞繞過系統(tǒng)的安全限制,通過六種不同的方式獲得系統(tǒng)的最高權(quán)限。這意味著攻擊者可能在用戶毫不知情的情況下,對(duì)其他應(yīng)用程序進(jìn)行修改,并獲取敏感信息。
網(wǎng)絡(luò)安全專家在安全行業(yè)中通常遵循一定的披露流程。通常情況下,一旦漏洞被發(fā)現(xiàn)并向廠商報(bào)告,研究人員會(huì)給廠商一定的時(shí)間來修復(fù)漏洞,這個(gè)時(shí)間通常是90天。然而,如果在這段時(shí)間內(nèi)漏洞未被解決,研究人員可能會(huì)公開漏洞細(xì)節(jié),以提醒用戶注意潛在的風(fēng)險(xiǎn)。根據(jù)報(bào)道,Jeff Johnson已經(jīng)在這個(gè)漏洞上給予了蘋果公司足夠的時(shí)間,但至今漏洞仍未得到修復(fù)。
這一事件引發(fā)了對(duì)macOS系統(tǒng)安全性和用戶隱私保護(hù)的關(guān)注。同時(shí),也凸顯了廠商與安全研究人員之間在漏洞披露和解決方面的合作重要性。對(duì)于用戶來說,保持操作系統(tǒng)和應(yīng)用程序的更新是減少潛在風(fēng)險(xiǎn)的重要步驟。
盡管蘋果公司尚未對(duì)此事發(fā)表官方聲明,但這次事件再次提醒人們,網(wǎng)絡(luò)安全問題任何系統(tǒng)都可能面臨,及時(shí)修復(fù)漏洞和密切關(guān)注安全專家的建議是確保個(gè)人和機(jī)構(gòu)數(shù)據(jù)安全的關(guān)鍵。
