开发人员JeffJohnson发现macOS Mojave存在隐私漏洞,黑客可能借此查看浏览历史,影响所有Mojave版本,包括最新更新。此漏洞允许恶意软件绕过系统保护,即使在启用HardenedRuntime下亦能运作。
macOS与iOS开发人员Jeff Johnson在macOS Mojave上发现了一个隐私漏洞,将允许黑客检视浏览历史纪录,且波及所有的Mojave(macOS 10.14)版本,包括苹果甫于2月7日释出的macOS Mojave 10.14.3。根据Johnson的说明,Mojave的默认值限制了特定活页夹的存取能力,例如存放Safari浏览器资源的~/Library/Safari,只有诸如Finder等少数程序可以存取该活页夹,但他发现有一个方式能够绕过Mojave中的相关保护,进而允许其它程序不需取得任何许可,就能检视该活页夹的资料。
Johnson说,透过此一途径,连许可对话窗都不会出现,恶意软件就能藉此窥探使用者隐私。此外,Johnson所采用的方法,就算是在启用Mojave的安全机制「Hardened Runtime」下都能运作,意谓着它通过了苹果的公证,但无法兼容于沙盒程序。Hardened Runtime为Mojave新增的安全机制,以让应用程序在额外的安全保护及资源存取限制下运作,而Johnson所利用的只是此一新功能的一个缺陷,并已通报了苹果。内文来源至:乐彩爱心 http://pctchp.org.tw/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
