苹果最新版本的MacOS Mojave系统被曝出安全漏洞,恶意软件可利用其访问存储在访问受限文件夹中的数据。正常的情况下,任何应用程序都无法访问这些特殊的文件夹。
这个漏洞由开发人员Jeff Johnson于2月8日发现且,该漏洞尚未修复,影响所有版本的MacOS Mojave,包括2月7日发布的MacOS Mojave 10.14.3版本。
MacOS Mojave系统中的某些文件夹在默认情况下是禁止访问的,例如~/Library/Safari
,只有极少数系统应用(如Finder)可以访问它。
但是,Johnson发现了一种绕过的方法,使得普通应用无需用户或系统的许可就能访问~/Library/Safari
这类的特殊文件夹,并读取用户的Web浏览历史记录。
Johnson在上周发表的一篇文章中表示:“我的绕过方法可以在启用‘hardened runtime’功能的情况下生效。因此,它可能会被恶意应用所利用。另外,我的绕过方法暂不适用于沙盒应用。”
该漏洞已经向苹果公司报告,但由于距离下一次正式发布安全补丁还一段时间,因此Johnson决定不发布漏洞细节。
Johnson还表示,他发现的这个漏洞和Safari扩展完全无关,因为该漏洞的主要影响对象是系统中所有访问权限特殊的文件夹,其中就包括~/Library/Safari
。
值得注意的是,在Mac电脑上运行High Sierra苹果操作系统的用户则不会受到该漏洞的影响。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/02/macos-mojave-privacy-hack.html