专栏首页黑白安全刚发布就出问题 新 macOS 零日漏洞或导致用户数据泄露

刚发布就出问题 新 macOS 零日漏洞或导致用户数据泄露

凤凰网科技讯 据科技博客AppleInsider北京时间9月25日报道,苹果公司今天向全球用户推送了最新macOS Mojave系统。但是,一位安全研究人员称,新系统包含一个安全保护执行漏洞,可能会导致个人用户数据泄露。

安全公司Digita Security首席研究员帕克里克·瓦德里(Patrick Wardle)对这个明显漏洞进行了介绍。他指出,该漏洞会允许一款无特殊权限的应用绕过系统内建的系统级权限,获取特定应用的用户信息。瓦德里已披露了大量与苹果相关的安全问题,最近的一个是热门Mac应用Adware Doctor秘密记录用户信息。

在今年6月举行的全球开发者大会上,苹果推出了一组增强版macOS安全功能,要求用户向其他人使用选定的应用和硬件提供明确许可。具体来说,用户需要就Mac摄像头、麦克风、邮件历史、消息、Safari等信息的访问提供授权。

瓦德里向Twitter上传了一段短视频,演示了如何绕过其中的至少一个保护机制。他先是利用终端尝试访问和复制联系人,结果失败,这是在苹果安全机制防护下的一个预料之中的结果。接着,瓦德里又运行了一个无特殊权限的应用,名称为“入侵Mojave”(breakMojave),寻找和访问Mac的通讯录。

在成功访问后,瓦德里能够运行一个目录命令,查看私人文件夹里的所有文件,包括元数据和图片。瓦德里在接受采访时称,这次演示并不是绕过增强后权限的“通用方法”,但是可以用于在用户登录macOS后获取受保护的数据。就其本身而言,它不大可能对多数用户造成重大问题,但是可能会在特定情况下引发麻烦。

他并未公布这个漏洞的细节以保护公众,但表示他演示这一漏洞为了吸引苹果的注意,因为该公司并没有为Mac设立漏洞奖励机制。

苹果在2016年推出了iOS漏洞奖励计划,对安全启动固件部分相关的漏洞最高奖励20万美元。不过,苹果并未为Mac设立一个类似的奖励机制。随着这一漏洞的公开,苹果肯定会询问漏洞细节,并在下一个更新中打上补丁。

添加收藏

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • PHP常量介绍

    ​变量和常量是计算机编程中的一个重要概念,变量或常量可以理解为是程序给一些数据取得名字,编程时,因为一些数据随着程序的运行而改变,所以不能直接使用这些数据,需要...

    周俊辉
  • CVE-2019-7805漏洞分析

    漏洞摘要 Adobe Acrobat Reader DC中存在一个释放后使用的漏洞,它允许攻击者使用当前用户的权限执行任意代码。 CVE CVE-2019-78...

    周俊辉
  • 微软对外披露 Google 工程师发现的 IE 漏洞 攻击者可以控制受影响系统

    Google 工程师发现 IE 中存在一个漏洞,攻击者可以通过漏洞完全控制受害操作系统。

    周俊辉
  • Nauto-来自真实驾驶员的无人驾驶数据

    译者:董梁 审校:陈明艳 本文长度为2108字,预估阅读时间5分钟 摘要:Nauto使用人工智能监测真实驾驶员的自动驾驶数据,它包含一套同时兼顾道路和驾驶员...

    iCDO互联网数据官
  • android gridview几个重要属性(android:listSelector自带内部padding分析)

    一、android:scrollbarStyle  决定状态条的位置 常用属性outsideOverlay,滚动条在最外层,gridview设置的paddin...

    用户1155943
  • Git使用:从Git上面拉取代码到本地电脑的快捷方法

    在开发过程中,尤其是多人合作开发的时候,最容易遇到代码合并冲突。所以对于合并代码遇到的冲突问题,作为开发者来说是家常便饭。

    三掌柜
  • Docker Compose 部署 ELK

    ELK 是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。

    YP小站
  • Scala安装教程

    首先去Java官网下载Java的安装包 jdk-8u121-windows-x64.exe

    机器学习和大数据挖掘
  • 受用一生的高效 PyCharm 使用技巧(三)

    大家好,这是本系列 PyCharm 的高效使用技巧的第三篇。按照惯例,本次还是分享 5 个。

    小小詹同学
  • 受用一生的高效 PyCharm 使用技巧(三)

    比如,常用的模块有 cProfile,在某些框架中,也内置了中间件帮助你进行性能分析,比如 Django ,WSGI。

    1480

扫码关注云+社区

领取腾讯云代金券