macOS 钥匙圈功能爆出漏洞,最新 High Sierra 版本也在其中

作者 | 发布日期 2017 年 09 月 27 日 10:11 | 分类 3C , Apple , 资讯安全
macOS-High-Sierra1-624x388

【Technews科技新报】苹果 macOS High Sierra 正式版已在 25 日开放下载,但在发布前几个小时,国外媒体纷纷报导信息安全研究员发现 macOS 存在零日漏洞,不法黑客可借机窃取用户资料。




曾入侵 NSA(National Security Agency,美国国家安全局)的黑客、现为信息安全公司 Synack 研究员的 Patrick Wardle,日前发现苹果 macOS 密码管理功能 Keychain(钥匙圈)的零日漏洞(Zero-day exploit)。

Keychain 自 macOS 8.6 及后续版本就被汇入到核准的苹果设备,包含密码、私钥、电子凭证等多种类型的数据资料。Patrick Wardle 创造一款名为“KeychainStealer”的验证程序,借以示范透过该漏洞窃取 Keychain 里储存网站或服务的密码及信用卡资讯,如影片所示。

Patrick Wardle 已在本月初向苹果回报漏洞,可惜的是在最新发布的 macOS High Sierra 正式版本却未修复。他表示身为一名热情的 Mac 用户,对 macOS 的安全性感到失望,他觉得用户应该要知道哪些使用状况处在危险中。

此外,Patrick Wardle 也建议官方应祭出一套 macOS 的漏洞回报奖励计划,该公司目前仅针对回报 iPhone 与 iPad 的漏洞,提供最高 20 万美元奖金。

苹果透过国外媒体 CNET 回应,macOS 内建的 Gatekeeper 功能预设阻止恶意软件和不当 Apps 从网络下载并发出警告,该公司也呼吁使用者应透过信赖的来源如 Mac App Store 下载 Apps,并留意 macOS 发出的安全通知,但未进一步说明何时修补漏洞。

(首图来源:苹果)

延伸阅读:

如需获取更多资讯,请关注微信公众账号:Technews科技新报

Brian Chen

投入科技媒体多年,过去撰写国内外产业新闻,并经营线上社交,长期关注移动趋势及设备发展。
未经许可,任何媒体、网站或个人不得复制、转载、或以其他方式使用本网站的内容,违者必究。

直接使用新浪微博发表评论

 

发表评论