最新桌上型電腦文章

Image credit: Devindra Hardawar / Engadget

谷歌又在苹果推出补丁前公开了一个 Mac 上严重的安全漏洞

攻击者或能透过该漏洞偷偷地乱搞你的文件系统。

Lanmo Chang
2019 年 3 月 5 日, 下午 04:00
Devindra Hardawar / Engadget

谷歌的 Project Zero 安全披露计划稍早再显双面刃的本色,这回走上刑台的又是老面孔 macOS 啦。谷歌指出 macOS 目前存在着一个严重的内核(kernel)漏洞,它能让有心人士在虚拟管理子系统不会察觉的情况下,安然修改用户挂载的文件系统映像档。对此苹果的修正档仍在开发当中,相信在还未发布前,Mac 用户的心情多少会受到影响吧。

至于为何 Project Zero 会选在此时发布这项消息呢?像是去年 11 月时,Google 也是在 Apple 尚未修补漏洞前,就提前揭露了相关消息。说起来这都是由于该计划遵循「90 天自动披露政策」的结果,无论修正措施是否已经备妥,它都会发布所侦测到的问题。然而事实上,Google 是可以为尚未准备好修正档的公司提供 14 天宽限期的,只是苹果不见得名列于有缓冲资格的公司名单当中就是了。

目前该漏洞的严重性还难以估量,但与此同时,若身为 Mac 的用户,多注意造访的网站和下载的文件看来是必须的。理论上来说,成功的攻击可以绕过系统级别的安全防护,对 macOS 进行大规模的修改,而且相关损害或许需要很长的时间才能察觉。