研究人员发现 macOS 可获取用户密码的 0day漏洞

栏目: IT资讯 · 发布时间: 5年前

内容简介:本周,德国安全研究人员 Linus Henze 发现了苹果 macOS 中一个被称作“KeySteal”的 0day 漏洞,并在 YouTube 上公布了一段视频演示(via youtube)。 对于别有用心的攻击者来说,可借助恶意手段从 Mac 上的 Keycha...

本周,德国安全研究人员 Linus Henze 发现了苹果 macOS 中一个被称作“KeySteal”的 0day 漏洞,并在 YouTube 上公布了一段视频演示(via youtube)。

对于别有用心的攻击者来说,可借助恶意手段从 Mac 上的 Keychain 应用程序来收集全部的敏感信息,而无需管理员访问权限(或管理员密码)。

研究人员发现 macOS 可获取用户密码的 0day漏洞

Keychain 会暴露密码和其它信息,以及其它 macOS 用户的密码详情。

鉴于苹果没有针对 macOS 的漏洞赏金计划,Henze 尚未选择向苹果分享漏洞详情,但表示不会轻易将细节公布。其在描述中写到 ——“全都怪苹果!”(So blame them.)

Linus Henze 说他不会发布这个漏洞,因为苹果并没有推出 macOS 的漏洞赏金计划。他在给《福布斯》的一份声明中澄清了自己的立场:“发现这样的漏洞需要时间,我只是认为付钱给研究人员是一件天经地义的事情,因为我们正在帮助苹果让他们的产品更安全。

研究人员发现 macOS 可获取用户密码的 0day漏洞

据悉,苹果有一个针对 iOS 移动平台的奖励计划,为发现 bug 的人们提供赏金。遗憾的是,对于桌面平台的 macOS 系统,苹果并没有类似的除虫奖励。据了解,苹果的安全团队已经联系了 Henze,但是他仍然拒绝提供更多的细节,除非他们为 macOS 推出漏洞赏金计划。据 Linus Henze 表示说:“即使看起来我这么做只是为了钱,但这根本不是我的动机。我的动机是让苹果公司创建一个漏洞赏金计划。我认为这对苹果和研究人员都是最好的。”

德国 Heise Online 称,该漏洞允许访问 Mac 上 Keychain 的内容,但不能访问存储在 iCloud 中的信息。

Keychain 也需要被解锁,当用户在 Mac 上登录他们的帐户时,即会在默认情况下会发生。如需为 Keychain 应用加锁,可以通过管理员密码来打开该 App,然后执行相关操作。

另外,KeySteal 并不是研究人员在 macOS 中发现的第一个与钥匙串访问相关的漏洞。安全研究员 Patrick Wardle 在 2017 年展示了一个类似的漏洞,不过该漏洞已经被修复。

译自:MacRumors 来自:cnBeta


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

expert one-on-one J2EE Development without EJB 中文版

expert one-on-one J2EE Development without EJB 中文版

[美] Rod Johnson、Juergen Hoeller / JavaEye / 电子工业出版社 / 2005-9 / 59.80元

乍一看这本书的名字,Expert one on one J2EE development without EJB并没有给人带来太冲击。毕竟关于J2EE的书太多了,而without EJB看上去有点象是故意挑衅EJB的感觉。一本J2EE的书怎么可能会给人带来信念或思维的冲击呢?但是它做到了,它不仅使自己变成了不朽的经典,也使Rod Johnson成为了我最近一年的新偶像。           ......一起来看看 《expert one-on-one J2EE Development without EJB 中文版》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具