蘋果macOSHighSierra有什麽漏洞
- 来源:未知 原创
- 时间:2018-07-29
- 阅读: 次
- 本文标签:
蘋果macOSHighSierra有什麽漏洞?相信小夥伴們一定很好奇,下面小編為大家帶來了macOSHighSierra存在漏洞詳細介紹,感興趣的小夥伴趕緊跟
著小編一起來看看吧。
蘋果macOS High Sierra正式版推出,該系統在功能特性上面有一定的改變,蘋果macOS High Sierra存在漏洞這個事情也廣受大家的關註,就
近macOS High Sierra存在什麽漏洞呢?大家一起來看看吧!
今天向公眾發布的macOS High Sierra可能會受到一個重大安全漏洞的影響,這個漏洞可能會讓黑客竊取存儲在Keychain中賬戶的用戶名和密碼。
事實證明,macOS High Sierra(可能還有早期版本的macOS)的未簽名應用可以訪問Keychain信息,並在沒有用戶主密碼的情況下顯示明文的用
戶名和密碼。
安全研究人員和前美國國家安全局分析師Patrick Wardle今天早上在twitter上分享了這一漏洞,並分享了這一漏洞的視頻。
在High Sierra(未簽名)應用程序中,可以通過編程來轉儲用戶密碼。
要想讓這種漏洞發揮作用,用戶需要從一個未知來源下載惡意第三方代碼。蘋果對應用程序在Mac App Store之外或不受信任的開發者處下載予
以了強烈的反對警告。
事實上,蘋果甚至不允許非信任的開發者的應用在沒有明確覆蓋安全設置的情況下被下載。
正如網上視頻所展示的那樣,Wardle創建了一個概念驗證的應用程序,叫做“keychainStealer”,能夠訪問Twitter、Facebook和美國銀行的鑰匙鏈中存儲的純文本密碼。
Wardle在福布斯雜誌上談到了這一漏洞,他說,即使在蘋果的保護措施下,在Mac上運行惡意代碼也並不難。
Wardle在誌采訪時還表示:“並不需要root用戶特權,如果用戶登錄了,我就可以轉儲並過濾掉密鑰鏈,包括明文密碼。”
“通常情況下,你不應該通過編程來做到這一點。”
他補充說:“我們今天看到的大多數攻擊都涉及到社交賬戶管理,而且似乎成功地針對Mac用戶。”
“我不會說keychain的開發是無用的——但惡意攻擊能完成工作,不需要root用戶,而且成功率達到100%。”
Wardle還沒有為惡意實體提供完整的漏洞,他相信蘋果會在未來的更新中修復這一問題。
由於Wardle沒有公布完整的漏洞代碼,外界無法對此進行驗證,也沒有別的相似消息來源進行比對,所以關於這個漏洞的完整細節還不為人所知。
蘋果尚未回應記者就其系統潛在危險性發表評論的請求。
相关文章
本文链接:http://www.it892.com/content/security/information/20180729/107721.html
电脑正在被ARP攻击怎么办
ARP(Address Resolution Protocol,地址解析协议)协议的基本功能就是通过目标设备的IP地址... [详细]
微软重要漏洞补丁齐发,数据加密保护成焦点
在6月14号的时候,微软一下子发布了关于Windows操作系统、Edge浏览器、Office办公软件等... [详细]