谷歌信息安全团队发现苹果macOS漏洞,至今还未修复
科技网站Wired 3月4日报道称,这一漏洞可能允许恶意软件将数据注入电脑上运行的最高权限代码,是最新的零日漏洞(zero-day)。
据谷歌解释,该漏洞允许攻击者修改用户拥有的挂载文件系统映像,而无需通知虚拟管理子系统,这意味着黑客能在用户不知情的情况下修改系统文件映像。
零日漏洞通常指还没有补丁的安全漏洞,漏洞发现当天黑客就能利用它发起攻击,这种漏洞对网络安全具有巨大威胁。谷歌称,苹果目前还没有修复这一漏洞,苹果正计划在接下来的系统更新中对其进行修复。
科技网站9to5Google当天报道称,苹果已经承认了这个问题,并已经和谷歌Project Zero团队合作对漏洞进行修复(苹果经常把推出补丁归功于谷歌)。苹果打算在未来的macOS版本中修复该漏洞,但目前还没有时间表。
Project Zero(任务零)是谷歌的一个信息安全团队,他们会找出各种软件的安全漏洞,并给相关公司90天的修复时间,90天后,不管修复是否成功,它们都会将发现的漏洞向公众披露。
Wired报道称,谷歌于3月1日在一个论坛帖子上低调发布了这一漏洞,这时距谷歌提醒苹果公司这一macOS漏洞已经过去了94天。
科技网站Macrumor当天报道中称,目前尚不清楚这是不是一个容易被利用的漏洞,但谷歌将其标注为严重,因为它有可能绕过macOS的安全措施。Mac用户应该一如既往地警惕下载文件,确保只从可信任站点下载,以避免攻击。