导读 一名安全研究员表示,尽管苹果修补了他在9月30日发布的11月和12月安全更新中披露的一些漏洞,但苹果看门人应用程序验证系统的缺陷仍然可以
一名安全研究员表示,尽管苹果修补了他在9月30日发布的11月和12月安全更新中披露的一些漏洞,但苹果看门人应用程序验证系统的缺陷仍然可以被利用。我花了五分钟才完全绕过它,”Synack的研究主管Patrick waddell说。他不只是在谈论这个问题:他还发布了一个工具来阻止未打补丁的漏洞利用。为了利用这一缺陷,合法的应用程序必须被恶意方修改,然后在用户认为下载了正确的包时被分发或交换。也就是说,这仍然是一个合理的担忧。
苹果发言人告诉Macworld,它已经将沃德尔确定的最新特定未签名应用程序组件添加到其XProtect列表中,阻止了它们的发布,并进行了富有成效的讨论。该公司表示,将继续努力提高网守的安全性。
苹果公司设计的Gatekeeper旨在为注册开发者的Mac应用程序提供更高水平的完整性,而不限制所有下载到Mac App Store。在“安全与隐私”的系统偏好设置面板中,将“允许从以下位置下载的应用”设置为“Mac App Store和认可的开发者”后,只有经过Apple颁发的证书加密和签名的后一类应用才能启动,并且只有在提示您“重新启动从互联网下载的软件”时才能启动。
沃德尔在9月份的披露中指出,虽然苹果检查了二进制可执行文件(下载包核心的编译软件)上的数字签名,但是Gatekeeper并没有检查包中其他可以被二进制文件执行的软件。沃德尔可以很容易地找到各大供应商的可下载应用,他可以在其中替换恶意代码的模块,而看门人不会吵架。需要注意的是,这些应用程序没有恶意,甚至没有遵循糟糕的编程准则。它们是由开发人员签名的合法OS X应用程序,可以被修改以添加恶意负载。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!