“假名”黑客曝 macOS 新漏洞,将影响 2002 年后所有 Mac 设备

雷锋网消息,就在 2017 年的最后一天,一名使用“Siguza”假名的安全研究人员在互联网上发布了一个macOS系统漏洞,该漏洞对 2002 年以来所有 Mac 操作系统设备都会产生影响。

截至目前,Siguza 还没有将此事通知苹果公司,因此在本文发稿时,这个漏洞都还没有被修复。

虽然 macOS遭受了一些“厄运”,但目前来看,该漏洞还只是本地特权升级漏洞,只能通过本地访问计算机、或是黑客已经“控制”了计算机之后,才能进行攻击。而且,相关漏洞需要赋予黑客 root用户的访问权限。

漏洞会影响 IOHIDFamily macOS 内核驱动程序

雷锋网发现,本次发现的漏洞会影响 IOHIDFamily macOS内核驱动程序,它是用来处理各种用户交互类型的程序组建。

Siguza表示,他访问了这个组件里的各种漏洞,也进行了深入研究,并且已经找到了“新手段”来破坏苹果公司的移动操作系统 iOS ——因为 iOS 也部署了 IOHIDFamily 内核驱动程序。这位安全专家表示,他还发现了专用于 macOS 版本的 IOHIDFamily 代码中有 LPE(本地提权) 漏洞。

虽然 Siguza 没有联系苹果公司,但是他写了一份非常详细的报告,阐述了黑客可以利用这些漏洞入侵用户电脑。Siguza 还在 1 月 1 日发布了一条推文,对这件事情做出了立场澄清,他表示:

“我的主要目的是为了让人们了解这件事情,我不会把漏洞卖给黑客,因为我不想帮助他们。但是现在,我还没有把这些漏洞提交给苹果公司,但是如果漏洞被远程利用,我会联系苹果公司。”

按照 Siguza 的说法,这个漏洞很容易被利用,而且会在计算机注销操作中被触发。这意味着,用户无论何时注销、重新启动或关闭电脑,攻击者都能在计算机上获得 root 访问权限。事实上,这些都是日常发生的常见操作,甚至不需要通过社交工程来利用漏洞。

安全更新可能不会那么及时

外媒 Bleeping Computer 已经就此事联系了苹果公司,希望他们对这个漏洞问题作出评论。但由于目前是节日期间,所以苹果公司可能不会在接下来的几天内发布安全更新。

另外,LEP 漏洞并不被认为是关键性漏洞,所以苹果公司可能也不会发布紧急更新来解决这个问题,而是很可能在之后酌情处理。

雷锋网VIA

bleepingcomputer

本文来自企鹅号 - 雷锋网媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏跟着阿笨一起玩NET

c#实现打印功能

3592
来自专栏Ceph对象存储方案

Luminous版本PG 分布调优

Luminous版本开始新增的balancer模块在PG分布优化方面效果非常明显,操作也非常简便,强烈推荐各位在集群上线之前进行这一操作,能够极大的提升整个集群...

3615
来自专栏一个爱瞎折腾的程序猿

sqlserver使用存储过程跟踪SQL

USE [master] GO /****** Object: StoredProcedure [dbo].[sp_perfworkload_trace_s...

2810
来自专栏闻道于事

js登录滑动验证,不滑动无法登陆

js的判断这里是根据滑块的位置进行判断,应该是用一个flag判断 <%@ page language="java" contentType="text/html...

8358
来自专栏陈仁松博客

ASP.NET Core 'Microsoft.Win32.Registry' 错误修复

今天在发布Asp.net Core应用到Azure的时候出现错误InvalidOperationException: Cannot find compilati...

5208
来自专栏杨龙飞前端

scrollto 到指定位置

2894
来自专栏张善友的专栏

Miguel de Icaza 细说 Mix 07大会上的Silverlight和DLR

Mono之父Miguel de Icaza 详细报道微软Mix 07大会上的Silverlight和DLR ,上面还谈到了Mono and Silverligh...

2997
来自专栏我和未来有约会

Kit 3D 更新

Kit3D is a 3D graphics engine written for Microsoft Silverlight. Kit3D was inita...

2886
来自专栏pangguoming

Spring Boot集成JasperReports生成PDF文档

由于工作需要,要实现后端根据模板动态填充数据生成PDF文档,通过技术选型,使用Ireport5.6来设计模板,结合JasperReports5.6工具库来调用渲...

1.4K7
来自专栏大内老A

The .NET of Tomorrow

Ed Charbeneau(http://developer.telerik.com/featured/the-net-of-tomorrow/) Exciti...

38010

扫码关注云+社区