macOS漏洞攻击safari影响所有已知的Mojave版本

开发人员API中的错误允许安装在macOS Mojave上的恶意应用程序获取对受攻击者可以提取Safari浏览历史数据的正常受保护文件夹的访问权限。

这个bug影响了所有已知的macOS Mojave版本，上周由Underpass Mac和iOS应用程序的开发者以及StopTheMadness Safari扩展程序的Jeff Johnson发现。

“在莫哈韦沙漠，某些文件夹有限制，即在默认情况下禁止访问，”约翰逊在很短的解释漏洞的博客文章的最后一周。“例如，〜/ Library / Safari。在[终端]应用程序中，你甚至无法列出该文件夹的内容。”

约翰逊表示，默认情况下，Mojave仅为少数选定的系统应用程序(如Finder)提供对此文件夹的访问权限。

“然而，我发现了一种方法可以绕过Mojave中的这些保护措施，并允许应用程序查看〜/ Library / Safari，而无需获得系统或用户的任何许可，”开发人员说。

“没有许可对话框，它只是工作。™通过这种方式，恶意软件应用程序可以通过检查他们的网络浏览历史来暗中侵犯用户的隐私。”

通过Twitter 向ZDNet发言，约翰逊将该漏洞的来源描述为“开发人员API中的一个漏洞”。他拒绝分享任何其他细节，前提是该问题尚未修补，他不想让macOS用户面临风险。

约翰逊说，他向Apple的安全团队报告了这个问题，该团队正式承认了他的报告。

“他们说他们看了我的报告并正在调查，”开发商告诉ZDNet。“这是一个标准的答复。一旦你向他们报告问题，他们通常不提供任何更新，所以在他们修复之前我不希望再与他们沟通。”

“我知道没有缓解措施，”约翰逊补充道。“但它只能被系统上运行的恶意应用程序利用。没有远程攻击。”

但约翰逊拒绝分享任何其他细节 - 现在 - 他确实指出他发现的错误与Rapid7安全研究员鲍勃鲁迪斯上周在网上分享的一个技巧无关，并且推测与约翰逊同样也是如此发现。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：http://www.ijiandao.com/