蘋(píng)果macOS High Sierra存在漏洞 macOS High Sierra存在什么漏洞

macOS High Sierra正式版固件最新版

• 類型：Mac系統(tǒng)軟件大�。�4.80G語(yǔ)言：中文 評(píng)分：5.0
• 標(biāo)簽：

立即下載

今天蘋(píng)果macOS High Sierra正式版推出，該系統(tǒng)在功能特性上面有一定的改變，蘋(píng)果macOS High Sierra存在漏洞這個(gè)事情也廣受大家的關(guān)注，就近macOS High Sierra存在什么漏洞呢？大家一起來(lái)看看吧！

蘋(píng)果macOS High Sierra存在漏洞詳情

今天向公眾發(fā)布的macOS High Sierra可能會(huì)受到一個(gè)重大安全漏洞的影響，這個(gè)漏洞可能會(huì)讓黑客竊取存儲(chǔ)在Keychain中賬戶的用戶名和密碼。

事實(shí)證明，macOS High Sierra（可能還有早期版本的macOS）的未簽名應(yīng)用可以訪問(wèn)Keychain信息，并在沒(méi)有用戶主密碼的情況下顯示明文的用戶名和密碼。

安全研究人員和前美國(guó)國(guó)家安全局分析師Patrick Wardle今天早上在twitter上分享了這一漏洞，并分享了這一漏洞的視頻。

在High Sierra（未簽名）應(yīng)用程序中，可以通過(guò)編程來(lái)轉(zhuǎn)儲(chǔ)用戶密碼。

要想讓這種漏洞發(fā)揮作用，用戶需要從一個(gè)未知來(lái)源下載惡意第三方代碼。蘋(píng)果對(duì)應(yīng)用程序在Mac App Store之外或不受信任的開(kāi)發(fā)者處下載予以了強(qiáng)烈的反對(duì)警告。

事實(shí)上，蘋(píng)果甚至不允許非信任的開(kāi)發(fā)者的應(yīng)用在沒(méi)有明確覆蓋安全設(shè)置的情況下被下載。

正如網(wǎng)上視頻所展示的那樣，Wardle創(chuàng)建了一個(gè)概念驗(yàn)證的應(yīng)用程序，叫做“keychainStealer”，能夠訪問(wèn)Twitter、Facebook和美國(guó)銀行的鑰匙鏈中存儲(chǔ)的純文本密碼。

Wardle在福布斯雜志上談到了這一漏洞，他說(shuō)，即使在蘋(píng)果的保護(hù)措施下，在Mac上運(yùn)行惡意代碼也并不難。

Wardle在志采訪時(shí)還表示：“并不需要root用戶特權(quán)，如果用戶登錄了，我就可以轉(zhuǎn)儲(chǔ)并過(guò)濾掉密鑰鏈，包括明文密碼。”

“通常情況下，你不應(yīng)該通過(guò)編程來(lái)做到這一點(diǎn)�！�

他補(bǔ)充說(shuō)：“我們今天看到的大多數(shù)攻擊都涉及到社交賬戶管理，而且似乎成功地針對(duì)Mac用戶�！�

“我不會(huì)說(shuō)keychain的開(kāi)發(fā)是無(wú)用的——但惡意攻擊能完成工作，不需要root用戶，而且成功率達(dá)到100%。”

Wardle還沒(méi)有為惡意實(shí)體提供完整的漏洞，他相信蘋(píng)果會(huì)在未來(lái)的更新中修復(fù)這一問(wèn)題。

由于Wardle沒(méi)有公布完整的漏洞代碼，外界無(wú)法對(duì)此進(jìn)行驗(yàn)證，也沒(méi)有別的相似消息來(lái)源進(jìn)行比對(duì)，所以關(guān)于這個(gè)漏洞的完整細(xì)節(jié)還不為人所知。

蘋(píng)果尚未回應(yīng)記者就其系統(tǒng)潛在危險(xiǎn)性發(fā)表評(píng)論的請(qǐng)求。