转载

谷歌安全团队公布苹果OS X系统三个高危漏洞

谷歌安全团队公布苹果OS X系统三个高危漏洞

  谷歌 Project Zero 安全团队的研究员们本周声称,他们在苹果 OS X 系统中发现了 3 个尚未被修复的高危安全漏洞。

  虽然这 3 个高危安全漏洞中的每一个漏洞都需要攻击者首先获得目标 Mac 的部分权限才能发起攻击,但是它们都会造成非常严重的后果,攻击者可以利用它们提升权限等级和控制目标 Mac。

  第一个漏洞“OS X networkd‘effective_audit_token’ XPC 型混乱沙箱逃逸”可以绕过网络系统的指令,可能在最新版 OS X Yosemite 系统中得到缓解,但是苹果没有明确对此作出解释。

  第二个漏洞涉及到“因为 IntelAccelerator 中的空指针引用导致的 OS X IOKit 核心代码执行。”

  第三个漏洞涉及到“因为 IOBluetoothDevice 中的内存管理函数出错造成 OS X IOKit 核心内存崩溃。”

  Project Zero 团队公布的每一个漏洞都包含了一个概念验证漏洞代码。

  这些漏洞早在去年 10 月就报告给了苹果,但是后者一直没有修复它们。过了 90 天之后,Project Zero 团队发现的这些漏洞的详细信息就自动被公开发布了。

  Project Zero 是谷歌在 2014 年中期正式成立的一个团队,团队成员的任务就是找出有可能导致有针对性的计算机攻击的任何软件漏洞。

  苹果在其产品安全页面上写道:“为了保护我们的客户,在完成调查和发布必要的补丁或新版本软件之前,苹果绝不会公开、讨论或证实任何安全漏洞的存在。”

  这并非谷歌 Project Zero 团队首次公开尚未被修复的安全漏洞。前几周,该团队刚刚公布了微软 Windows 操作系统中存在并且尚未被修复的 3 个安全漏洞。(林靖东)‍

正文到此结束
Loading...