谷歌安全团队披露苹果macOS严重漏洞,晾了90天没人管
谷歌的Project Zero团队以揭露谷歌自身以及其他大公司系统中的漏洞和安全问题而闻名。从五年前成立以来,谷歌向苹果等公司报告了大量漏洞。在去年10月,谷歌曾指责苹果花了太长时间修复漏洞。
最近,谷歌的团队报告并公开披露了macOS内核中的一个严重缺陷,该缺陷可以让攻击者在不被人知晓的情况下访问用户的计算机。而且,苹果把这个漏洞晾了90天时间没管。
最新的macOS漏洞可能会影响数百万个Mac用户,但这不是完全是因为玩忽职守所致。该漏洞可以让攻击者悄悄地修改已挂载的磁盘映像,然后侵入和控制macOS的内存管理系统,使Mac电脑运行修改后的代码。
谷歌详细解释了苹果macOS内核的缺陷。安全研究人员发现,如果对用户拥有的挂载文件系统映像进行了修改,虚拟管理系统就不会收到这些更改的通知。因此,攻击者可能被授予访问权限,以便在挂载的文件系统上执行恶意操作,而最终用户直到为时已晚时才知道这一点。
早在2018年11月,谷歌就首次向苹果披露了这一漏洞。然而,90天过去了,该公司还没有发布补丁,该漏洞已经被公开披露。谷歌将这个问题标记为“严重程度较高”,这意味着它的影响可能相当大。
值得庆幸的是,苹果已经承认了这个问题,并开始与谷歌的Project Zero合作进行修复。苹果打算在下一个macOS版本中修复这个问题,但目前还没有推出时间表。
除了被谷歌批评解决漏洞太迟缓之外,苹果最近还因其解决漏洞的做法而遭到批评。
此前,FaceTime的安全漏洞也造成了极大的影响,尽管有多个用户向苹果报告这个漏洞,但直到新闻报道和社交媒体帖子开始大肆报道这个安全漏洞,苹果才开始重视起来。
此外,就在上个月,一名德国研究人员批评苹果公司没有给报告macOS漏洞的研究人员提供赏金,因此他拒绝向苹果披露一个严重的与密码相关的漏洞。