导读 苹果手上可能还有另一个gatekeeper安全漏洞。研究员filippo cavallarin 详细介绍了一个macos漏洞,他说这个漏洞可以让攻击者在没有通常的
苹果手上可能还有另一个gatekeeper安全漏洞。研究员filippo cavallarin 详细介绍了一个macos漏洞,他说这个漏洞可以让攻击者在没有通常的权限请求的情况下安装恶意软件。由于gatekeeper认为网络共享是不需要权限检查的“安全”位置,因此入侵者只需欺骗用户安装其中一个共享来运行他们喜欢的应用程序。例如,具有正确符号链接的恶意制作的zip文件可以自动引导您访问攻击者拥有的网站,并且很容易诱骗某人发布恶意应用程序 - 例如伪装成文档文件夹的病毒。
从理论上讲,这个问题现在应该已经解决了。cavallarin说,他在2月22日通知apple这个漏洞,并且应该从macos 10.14.5开始解决。但他说并不是说苹果公司已停止回复他的电子邮件了。在向apple提出90天解决问题之后,他正在发布这个漏洞。
我们已经要求apple发表评论。当您不得不打开zip文件以及网络共享内部的任何内容时,无意中暴露的可能性不高,但这可能会使那些不熟悉远程共享或未经请求的文件风险的人绊倒。它还强调了明确信任某些网络环境的风险,即使通常有充分的理由。
标签: