聲明：該文章由作者（kstest）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

開發(fā)人員API中的錯(cuò)誤允許安裝在macOS Mojave上的惡意應(yīng)用程序獲取對(duì)受攻擊者可以提取Safari瀏覽歷史數(shù)據(jù)的正常受保護(hù)文件夾的訪問(wèn)權(quán)限。

這個(gè)bug影響了所有已知的macOS Mojave版本，上周由Underpass Mac和iOS應(yīng)用程序的開發(fā)者以及StopTheMadness Safari擴(kuò)展程序的Jeff Johnson發(fā)現(xiàn)。

“在莫哈韋沙漠，某些文件夾有限制，即在默認(rèn)情況下禁止訪問(wèn)，”約翰遜在很短的解釋漏洞的博客文章的最后一周?！袄?，?/ Library / Safari。在[終端]應(yīng)用程序中，你甚至無(wú)法列出該文件夾的內(nèi)容?！?/p>

約翰遜表示，默認(rèn)情況下，Mojave僅為少數(shù)選定的系統(tǒng)應(yīng)用程序(如Finder)提供對(duì)此文件夾的訪問(wèn)權(quán)限。

“然而，我發(fā)現(xiàn)了一種方法可以繞過(guò)Mojave中的這些保護(hù)措施，并允許應(yīng)用程序查看?/ Library / Safari，而無(wú)需獲得系統(tǒng)或用戶的任何許可，”開發(fā)人員說(shuō)。

“沒(méi)有許可對(duì)話框，它只是工作。?通過(guò)這種方式，惡意軟件應(yīng)用程序可以通過(guò)檢查他們的網(wǎng)絡(luò)瀏覽歷史來(lái)暗中侵犯用戶的隱私?！?/p>

通過(guò)Twitter 向ZDNet發(fā)言，約翰遜將該漏洞的來(lái)源描述為“開發(fā)人員API中的一個(gè)漏洞”。他拒絕分享任何其他細(xì)節(jié)，前提是該問(wèn)題尚未修補(bǔ)，他不想讓macOS用戶面臨風(fēng)險(xiǎn)。

約翰遜說(shuō)，他向Apple的安全團(tuán)隊(duì)報(bào)告了這個(gè)問(wèn)題，該團(tuán)隊(duì)正式承認(rèn)了他的報(bào)告。

“他們說(shuō)他們看了我的報(bào)告并正在調(diào)查，”開發(fā)商告訴ZDNet。“這是一個(gè)標(biāo)準(zhǔn)的答復(fù)。一旦你向他們報(bào)告問(wèn)題，他們通常不提供任何更新，所以在他們修復(fù)之前我不希望再與他們溝通?！?/p>

“我知道沒(méi)有緩解措施，”約翰遜補(bǔ)充道。“但它只能被系統(tǒng)上運(yùn)行的惡意應(yīng)用程序利用。沒(méi)有遠(yuǎn)程攻擊?！?/p>

但約翰遜拒絕分享任何其他細(xì)節(jié) - 現(xiàn)在 - 他確實(shí)指出他發(fā)現(xiàn)的錯(cuò)誤與Rapid7安全研究員鮑勃魯?shù)纤股现茉诰W(wǎng)上分享的一個(gè)技巧無(wú)關(guān)，并且推測(cè)與約翰遜同樣也是如此發(fā)現(xiàn)。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/