macOS 修复邮件漏洞

苹果上周发布了macOS Catalina 10.15.3更新，安全专家根德勒（Bob Gendler）在博客发布文章表示，此次更新也修复了其于去年11月披露的邮件（Apple Mail）App错误，该错误将使加密邮件被明码储存，可能导致重要信息外泄。

根德勒去年11月在博客发文指出，其于7月发现了macOS系统内建邮件App的漏洞。当用户使用该App发送邮件后，会开启系统默认的Siri学习功能，将信件文字内容储存于一个名为「snippets.db」的数据库中，且不会受到邮件加密的保护，使有心人士便得以从中直接获取用户的邮件内容。该漏洞至少存在于Sierra到Catalina的4个版本的 macOS中，而据根德勒稍早的博客文章，苹果已在macOS Catalina 10.15.3更新中修复该漏洞。

事实上，该漏洞的影响范围可能不大，毕竟有心人士想利用该漏洞也不容易。用户需要使用macOS系统内建的邮件App（而非第三方邮件App）发送邮件，且关闭FileVault的全硬盘加密，且须确切知晓在系统文件中找寻该数据存放的位置。

事实上，苹果并未于macOS Catalina 10.15.3的说明中提及该修复程序，但Catalina 10.15.3的beta版发布说明内写道，加密邮件已不会出现在Spotlight的搜寻结果中。这可能意味着苹果已改变其对内建邮件App内加密邮件编制索引的方式，以防止上述的漏洞发生。