谷歌的Project Zero安全披露计划再次被证明是一把双刃剑。该公司详细介绍了一个“高严重性”的macOS内核缺陷,它允许人们修改用户安装的文件系统映像,而虚拟管理子系统则不会更明智,理论上让攻击者不会被用户注意到。Apple正在开发一个补丁,但在修复之前的披露可能会让Mac用户容易受到影响,直到它准备就绪。
不太理想的时机部分源于Project Zero的工作原理。谷歌在2018年11月向苹果公司通报了该漏洞,但其自动的90天披露政策意味着它将公布安全漏洞,无论是否有修复措施。虽然该公司确实为那些认为他们没有准备好补丁的公司提供了14天的宽限期,但Apple并不一定有资格获得此缓刑。我们已经要求Apple和Google发表评论。
目前尚不清楚在野外开发是多么容易。与此同时,您可能希望特别注意您访问的网站和下载的文件。理论上,成功的攻击可以对macOS进行严重更改而不会使系统级别的安全措施失效,并且您可能直到很晚才意识到这种损坏。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
