示意圖,與新聞事件無關。

圖片來源: 

Apple

一名代號為Siguza的安全研究人員在本周一(1/1)公布了macOS中一個長達15年的安全漏洞,且在公布前並無知會蘋果,幸好它是個必須實際存取裝置才能開採的權限擴張漏洞,而非重大的遠端安全漏洞。

根據Siguza的描述,該漏洞存在於macOS核心中的IOHIDSystem,此一元件主要用來處理各種與使用者之間的互動,相關漏洞至少自2002年就存在了,意謂著已有15年的歷史,成功開採該漏洞將允許駭客取得系統的最高管理權限。

Siguza也在Twitter上公布了他的發現,因詳細描述漏洞與攻擊細節,而引來外界的批評。Siguza表示,他的目的只是讓人們理解此事,無意賣給駭客,如果蘋果的抓漏獎勵範圍包含了macOS,或是漏洞可被遠端開採,他就會事先通知蘋果。這只是個本地權限擴張漏洞,無法遠端開採,對大多數的人來說都是安全的。

其他資安業者也同意這並非是個重大漏洞,認為此一漏洞的最大問題來自於它存在太久了,或者也可能存在於其它的開源碼元件中。

蘋果並未回應此事,外界則預期蘋果會在本月底的例行性更新中修補該漏洞。


Advertisement

更多 iThome相關內容