谷歌的Project Zero團(tuán)隊(duì)以揭露谷歌自身以及其他大公司系統(tǒng)中的漏洞和安全問題而聞名。從五年前成立以來，谷歌向蘋果等公司報(bào)告了大量漏洞。在去年10月，谷歌曾指責(zé)蘋果花了太長時(shí)間修復(fù)漏洞。

　　最近，谷歌的團(tuán)隊(duì)報(bào)告并公開披露了macOS內(nèi)核中的一個(gè)嚴(yán)重缺陷，該缺陷可以讓攻擊者在不被人知曉的情況下訪問用戶的計(jì)算機(jī)。而且，蘋果把這個(gè)漏洞晾了90天時(shí)間沒管。

　　最新的macOS漏洞可能會(huì)影響數(shù)百萬個(gè)Mac用戶，但這不是完全是因?yàn)橥婧雎毷厮?。該漏洞可以讓攻擊者悄悄地修改已掛載的磁盤映像，然后侵入和控制macOS的內(nèi)存管理系統(tǒng)，使Mac電腦運(yùn)行修改后的代碼。

　　谷歌詳細(xì)解釋了蘋果macOS內(nèi)核的缺陷。安全研究人員發(fā)現(xiàn)，如果對用戶擁有的掛載文件系統(tǒng)映像進(jìn)行了修改，虛擬管理系統(tǒng)就不會(huì)收到這些更改的通知。因此，攻擊者可能被授予訪問權(quán)限，以便在掛載的文件系統(tǒng)上執(zhí)行惡意操作，而最終用戶直到為時(shí)已晚時(shí)才知道這一點(diǎn)。

　　早在2018年11月，谷歌就首次向蘋果披露了這一漏洞。然而，90天過去了，該公司還沒有發(fā)布補(bǔ)丁，該漏洞已經(jīng)被公開披露。谷歌將這個(gè)問題標(biāo)記為“嚴(yán)重程度較高”，這意味著它的影響可能相當(dāng)大。

　　值得慶幸的是，蘋果已經(jīng)承認(rèn)了這個(gè)問題，并開始與谷歌的Project Zero合作進(jìn)行修復(fù)。蘋果打算在下一個(gè)macOS版本中修復(fù)這個(gè)問題，但目前還沒有推出時(shí)間表。

　　除了被谷歌批評解決漏洞太遲緩之外，蘋果最近還因其解決漏洞的做法而遭到批評。

　　此前，F(xiàn)aceTime的安全漏洞也造成了極大的影響，盡管有多個(gè)用戶向蘋果報(bào)告這個(gè)漏洞，但直到新聞報(bào)道和社交媒體帖子開始大肆報(bào)道這個(gè)安全漏洞，蘋果才開始重視起來。

　　此外，就在上個(gè)月，一名德國研究人員批評蘋果公司沒有給報(bào)告macOS漏洞的研究人員提供賞金，因此他拒絕向蘋果披露一個(gè)嚴(yán)重的與密碼相關(guān)的漏洞。

　　(文章來源：獵云網(wǎng))

　　(：DF395)