macOS安全问题凸显,但苹果并没有重视
在二月六日的时候一位来自德国的安全研究员向公众展示了通过macOS的系统漏洞访问系统内保存密码证书的钥匙串应用,但是并没有向苹果反馈具体细节。但在考虑到这个漏洞带来的严重后果,在二月二十八日他决定向苹果免费反馈漏洞补丁和所有细节。无独有偶,在近日谷歌的Project Zero团队也公布了一个涉及到macOS系统上挂载磁盘镜像的写入时拷贝漏洞。这个漏洞源于macOS系统在管理内存时能够自动创建复制数据的副本。这意味着可以修改任何挂载在macOS系统上的磁盘镜像。而Project Zero团队的政策是为存在漏洞产品的公司提供90天的时间用来修复。
但是苹果到目前并没有修复这两个漏洞,这也引发了公众对苹果态度的批评。而苹果公司为提高产品的安全性,已在2016年就推出了漏洞赏金计划,但是在整个计划的运作上并不积极。苹果最近一直在非常被动的接受漏洞的反馈,在修复是也不够积极。在一月时就出现过FaceTime视频聊天的漏洞,但是苹果并没有第一时间响应,而是等到问题扩大后才发现漏洞的严重性,然后才提供一个补丁来修补这个漏洞,同时为漏洞的发现者提供一定的奖励。
虽然苹果提供的奖励很丰厚,但是他们也在考虑所有的风险。所以在会造成钥匙串泄露的漏洞发现者,因为后果严重性考虑而自愿免费为苹果提供详细细节而得不到任何奖励。好消息是,苹果将开始重视这个问题。虽然钥匙串漏洞还没有具体修复时间,但是苹果已经在与Project Zero团队合作评估如何进行修复,并打算在未来的系统版本中解决写入时拷贝的漏洞。
赞 (0)