在未善意知会苹果下,研究人员径行公布macOS中藏身15年的本地权限扩张漏洞
一名代号为Siguza的安全研究人员 在本周一公布了 macOS中一个长达15年的安全漏洞,且在公布前并无知会苹果,幸好它是个必须实际存取装置才能开采的权限扩张漏洞,而非重大的远端安全漏洞。
根据Siguza的描述,该漏洞存在于macOS核心中的IOHIDSystem,此一元件主要用来处理各种与使用者之间的互动,相关漏洞至少自2002年就存在了,意谓着已有15年的历史,成功开采该漏洞将允许骇客取得系统的最高管理权限。
Siguza也在Twitter上公布了他的发现,因详细描述漏洞与攻击细节,而引来外界的批评。Siguza表示,他的目的只是让人们理解此事,无意卖给骇客,如果苹果的抓漏奖励范围包含了macOS,或是漏洞可被远端开采,他就会事先通知苹果。这只是个本地权限扩张漏洞,无法远端开采,对大多数的人来说都是安全的。
其他资安业者也同意这并非是个重大漏洞,认为此一漏洞的最大问题来自于它存在太久了,或者也可能存在于其它的开源码元件中。
苹果并未回应此事,外界则预期苹果会在本月底的例行性更新中修补该漏洞。