周末的时候,Luca Todesco在GitHub上分享了有关“tpwn”漏洞的详情,该漏洞使得攻击者能够获得root级别的Mac访问权限。 据悉,该漏洞影响所有版本的OS X Yosemite(包括OS X 10.10.5),但并不会影响最新的OS X EI Capitan。
鉴于Todesco在公布前并未提前知会苹果,所以我们暂不知道该公司会何时给出修复。
Apple Insider网站指出,为了防止黑客利用安全漏洞进行不可告人的活动,安全研究和开发人员理当遵守“先礼后兵”的标准流程。
不过Todesco表示,曝出该漏洞与披露iOS越狱方法没啥区别,且他也同时放出了某个“第三方修复”补丁。(尽管Engadget指出此举的风险要远胜于iOS越狱)
从技术层面上来讲是真实的,但他们却在发布信息的时候对实际风险轻描淡写。很多人都没有足够的知识去尝试第三方方案、以及由此可能带来的副作用,而越狱至少是用于‘半无害化’的目的。一个‘惊喜’的Mac漏洞只是给攻击者们送去了大把的时间。
据悉,为了修复OS X 10.10.5上的“DYLD_PRINT_TO_ACCESS”漏洞,苹果花费了不到一个月的时间(从漏洞公布时算起)。
尽管目前暂无漏洞利用报告,但我们还是推荐OS X Yosemite用户仅从Mac App Store上下载来自可信开发者的应用来保护自己,或者将系统升级到最新的OS X EI Capitan。