Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

刚发布就出问题 新macOS零日漏洞或导致用户数据泄露

Release time:2018-09-25 source: Browse times:1200

据科技博客AppleInsider北京时间925日报道,苹果公司今天向全球用户推送了最新macOS Mojave系统。但是,一位安全研究人员称,新系统包含一个安全保护执行漏洞,可能会导致个人用户数据泄露。安全公司Digita Security首席研究员帕克里克·瓦德里(Patrick Wardle)对这个明显漏洞进行了介绍。

他指出,该漏洞会允许一款无特殊权限的应用绕过系统内建的加密软件系统级权限,获取特定应用的用户信息。瓦德里已披露了大量与苹果相关的安全问题,最近的一个是热门Mac应用Adware Doctor秘密记录用户信息。

在今年6月举行的全球开发者大会上,苹果推出了一组增强版macOS安全功能,要求用户向其他人使用选定的应用和硬件提供明确许可。具体来说,用户需要就Mac摄像头、麦克风、邮件历史、消息、Safari等信息的访问提供授权。

瓦德里向Twitter上传了一段短视频,演示了如何绕过其中的至少一个保护机制。他先是利用终端尝试访问和复制联系人,结果失败,这是在苹果安全机制防护下的一个预料之中的结果。接着,瓦德里又运行了一个无特殊权限的应用,名称为入侵Mojave”(breakMojave),寻找和访问Mac的通讯录。

在成功访问后,瓦德里能够运行一个目录命令,查看私人文件夹里的所有文件,包括元数据和图片。瓦德里在接受采访时称,这次演示并不是绕过增强后权限的通用方法,但是可以用于在用户登录macOS后获取受保护的数据。就其本身而言,它不大可能对多数用户造成重大问题,但是可能会在特定情况下引发麻烦。

他并未公布这个漏洞的细节以保护公众,但表示他演示这一漏洞为了吸引苹果的注意,因为该公司并没有为Mac设立漏洞奖励机制。

苹果在2016年推出了iOS漏洞奖励计划,对安全启动固件部分相关的漏洞最高奖励20万美元。不过,苹果并未为Mac设立一个类似的奖励机制。随着这一漏洞的公开,苹果肯定会询问漏洞细节,并在下一个更新中打上补丁。

Recommended news

美国三大运营商被曝存在漏洞:或导致用户信息泄露

2018-08-28

新浪科技讯 北京时间8月27日下午消息,上周末,一些网络安全人员发现AT&T、Sprint和T-Mobi...

越南黑客有多厉害?单枪匹马干翻珀斯机场

2017-12-13

越南一名31岁黑客(名为Le Duc Hoang Hai)被指控2016年3月使用第三方承包商的凭证成功入侵澳大利...

Aadhaar数据泄露:印度210个政府网站公开披露公民私人信息

2017-11-21

E安全11月21日讯 数据安全越来越被重视,个人数据除了“被动”泄露以外,还能被数据责任方因缺乏安全意识“主动”泄...

部分政府官网“主动泄密”,是对个人隐私的冒犯和伤害 | 新京报快评

2017-11-14

▲景德镇市政府信息公开网截图。图片来自澎湃新闻 现代社会中,个人隐私和...

20万份Abbyy客户数据泄露或波及大众、德勤、麦当劳等企业

2018-09-04

安全研究人员 Bob Diachenko 8月19日在亚马逊 AWS 云平台上发现一个大小为142GB的暴露数据库...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top