macOS被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

栏目: 编程工具 · 发布时间: 6年前

macOS被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

Cavallarin在个人博客上表示:“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后,我公开了这些信息。”

macOS被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

Gatekeeper设计目标根本不是为了防止这种漏洞,而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用,审查通过后予以接受并添加签名,确保应用未经篡改或改动。如果某个应用存在问题,Apple 会迅速从商店中下架。

但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示:“根据设计规范,Gatekeeper将外部磁盘和网络共享视为安全位置,而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择,在下次打开的时候Gatekeeper就不会继续检查它。

Cavallarin继续说道:“Zip档案可以包含指向任意位置的符号链接(包括automount enpoints),并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说,用户可以“轻易”欺骗安装网络共享驱动器,然后该文件夹中的任何内容都可以通过Gatekeeper。

目前苹果官方并未针对该漏洞做出回应。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Google将带来什么?

Google将带来什么?

杰夫·贾维斯 / 陈庆新、赵艳峰、胡延平 / 中华工商联合出版社 / 2009-8 / 39.00元

《Google将带来什么?》是一本大胆探索、至关重要的书籍,追寻当今世界最紧迫问题的答案:Google将带来什么?在兼具预言、宣言、思想探险和生存手册性质的这样一《Google将带来什么?》里,互联网监督和博客先锋杰夫·贾维斯对Google这个历史上发展速度最快的公司进行了逆向工程研究,发现了40种直截了当、清晰易懂的管理与生存原则。与此同时,他还向我们阐明了互联网一代的新世界观:尽管它具有挑战性......一起来看看 《Google将带来什么?》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具