(資料圖片)
網(wǎng)絡(luò)安全專(zhuān)家Jeff Johnson在2022年10月向蘋(píng)果公司報(bào)告了macOS系統(tǒng)應(yīng)用管理中存在的安全漏洞,然而,至今蘋(píng)果公司仍未修復(fù)這一問(wèn)題。因此,今年8月,Johnson公開(kāi)了這一漏洞的相關(guān)細(xì)節(jié)。Johnson在最近發(fā)布的博文中,詳細(xì)闡述了這一漏洞的工作原理,以及應(yīng)用程序如何利用這一漏洞繞過(guò)沙箱,通過(guò)六種方式獲取最高權(quán)限,未經(jīng)用戶(hù)許可的情況下,修改其他應(yīng)用程序,并獲取相關(guān)信息。值得一提的是,Johnson在去年10月就在其個(gè)人博客上簡(jiǎn)要介紹了應(yīng)用管理漏洞的五種利用方式,并表示已注意到第六種方式。他表示,在發(fā)現(xiàn)該漏洞后,立即向蘋(píng)果公司報(bào)告了這一問(wèn)題,并收到了蘋(píng)果的承認(rèn)報(bào)告,但蘋(píng)果公司至今仍未修復(fù)該漏洞。Johnson表示,按照安全行業(yè)的規(guī)則,通常可以在90天后披露漏洞細(xì)節(jié)。他給蘋(píng)果預(yù)留了大量的時(shí)間,但蘋(píng)果至今仍未修復(fù)這一問(wèn)題。
關(guān)鍵詞:
