Google 旗下的 Project Zero 小组近来异常活跃,在曝光数个 Windows 漏洞之后,今天继续放大招,只不过这次中招的不再是 Windows 平台,而是向来以安全著称的苹果 OS X 平台。 据 Ars Technica 报道,Google 在过去两天里接连爆出了三个 OS X 漏洞。初步来看,这些漏洞并不具有高危性,因为在利用这些漏洞发起前,攻击者需要首先获得了目标机器的部分权限。此外,在第一个漏洞中所涉及的 networkd ‘effective_audit_token’ XPC 很有可能已经在最新版的 OS X Yosemite 中修复。
尽管这些漏洞可能并不会带来很高的直接风险,但利用多个漏洞也有可能达到特权提升控制被攻击 Mac 的目的。而更大的危险在于此次公布的漏洞中包括了 POC (proof-of-concept,概念验证)漏洞代码,有经验的黑客可以根据泄露出的技术细节开发出针对性的攻击工具。 这些漏洞提交于 2014 年 10 月 21 日 和 23 日提交,在超过 90 天的宽限期之后在近日被公开。此前项目小组曝光了微软正准备修复但因兼容性问题而推迟的漏洞,这引发了微软的不满,双方打了一阵口水仗。有人批评 Google 的不近人情,但也有计算机安全专家表示,Google 出资支持的安全项目小组所给出的 90 天的宽限期是经过深思熟虑的,它希望能够借此推动安全漏洞的修复工作,警示互联网的安全风险。 Project Zero 是 Google 在 2014 年 7 月 15 日组建的,成员既有来自 Google 内部的高级安全安全研究人员,也有一批白帽子,其中就包括在 2007 年第一个破解 AT&T iPhone 网锁并破解 PlayStation 3 的 George Hotz。 |
