Google Project Zero揭露3個Mac OS X安全漏洞

繼接連公布微軟多個逾期未補的Windows漏洞之後，Google旗下的網路抓蟲小組Project Zero又公布了3個蘋果Mac OS X的安全漏洞，蘋果已修補其中一個漏洞，另外兩個則預計於即將出爐的OS X 10.10.2中進行修補。

第一個漏洞與OS X的com.apple.networkd服務有關，該服務負責分析各種複雜的XPC訊息，XPC的主要功能為把程式拆分成不同的程序，但當中隱藏沙箱逃逸（sandbox escape）漏洞，使得駭客可執行任意程式。

其他兩個漏洞皆與蘋果平台所使用的裝置驅動程式框架I/O Kit有關，當中一個是因英特爾加速器無效指標參照而導致的OS X I/O Kit核心碼的執行，另一個則與藍牙的連結功能有關，可能造成I/O Kit的記憶體毀損。

這3個漏洞皆因達到Google預設的90天揭露期限而被自動公布，蘋果並未說明相關漏洞，但國外科技新聞網站認為，這3個漏洞看起來都不是太嚴重，因為駭客得先取得裝置的使用權限才能利用相關漏洞。

目前蘋果已修補第一個漏洞，針對其他兩個漏洞的修補也已出現在OS X 10.10.2的測試版中，因此當蘋果釋出OS X 10.10.2正式版時應該就可解決相關漏洞。（編譯/陳曉莉）