IT采购网8月22日消息,网络安全专家JeffJohnson于2022年10月向苹果公司报告了一个在macOS系统中发现的应用程序管理漏洞。然而,到了2023年8月,该漏洞依然未被苹果公司修复。这个漏洞据称允许应用程序绕过操作系统的沙箱保护,获得最高权限,并在未经用户许可的情况下对其他应用程序进行修改和信息获取。
据了解,Jeff Johnson曾在去年10月在个人博客上发布博文,简要提及了关于AppManagement漏洞的5种潜在利用方式,并暗示已经察觉到第六种方式。他还表示,发现漏洞后立即向苹果公司报告,并获得了苹果公司的确认回应。然而,漏洞至今未被修复。
JeffJohnson近日在他的博客中详细解释了这一漏洞的工作原理。他详细描述了应用程序如何利用该漏洞绕过系统的安全限制,通过六种不同的方式获得系统的最高权限。这意味着攻击者可能在用户毫不知情的情况下,对其他应用程序进行修改,并获取敏感信息。
网络安全专家在安全行业中通常遵循一定的披露流程。通常情况下,一旦漏洞被发现并向厂商报告,研究人员会给厂商一定的时间来修复漏洞,这个时间通常是90天。然而,如果在这段时间内漏洞未被解决,研究人员可能会公开漏洞细节,以提醒用户注意潜在的风险。根据报道,JeffJohnson已经在这个漏洞上给予了苹果公司足够的时间,但至今漏洞仍未得到修复。
这一事件引发了对macOS系统安全性和用户隐私保护的关注。同时,也凸显了厂商与安全研究人员之间在漏洞披露和解决方面的合作重要性。对于用户来说,保持操作系统和应用程序的更新是减少潜在风险的重要步骤。
尽管苹果公司尚未对此事发表官方声明,但这次事件再次提醒人们,网络安全问题任何系统都可能面临,及时修复漏洞和密切关注安全专家的建议是确保个人和机构数据安全的关键。