- A+
所属分类:未分类
大约三个月前, Web应用程序安全专家向Apple报告了一个漏洞,该漏洞允许黑客通过绕过Gatekeeper功能欺骗智能设备用户运行恶意应用程序。 现在,据报道该公司还没有修补漏洞。
Gatekeeper是用于验证代码签名和应用程序下载的Apple机制; 当用户从非官方平台下载应用程序时,Gatekeeper已启用并阻止执行应用程序,因为用户必须首先表示同意安装和运行未知源软件。
报告此漏洞的Web应用程序安全专家提到,可以绕过启用Gatekeeper以在未经用户许可的情况下在macOS版本10.14.5及更早版本中运行未知源代码。 专家提到,“苹果向我们保证,这个漏洞将在5月15日之前得到纠正,尽管这个漏洞仍然存在。” 由于公司纠正该缺陷的最后期限为90天,专家们决定公布他们的报告。
该漏洞存在,因为Gatekeeper认为外部存储单元和网络共享是安全位置,允许执行这些表单中托管的应用程序。 通过将其与自动安装功能相结合,使用“特殊”路径安装网络共享,漏洞可以被熟练的威胁演员利用。
国际网络安全研究所(IICS)的网络应用安全专家认为,苹果计算机的许多用户都暴露在这个漏洞中,因为几天前推出了最新版本的macOS操作系统,因此用户可能正在运行过去的系统版本。
该公司尚未纠正此漏洞,因此用户只能找到一种解决方法来降低风险。 报告此漏洞的专家提到,尽管存在可能的临时解决方案,但如果没有关于Apple操作系统的技术知识,用户将无法使用该漏洞。
2019年5月28日
