瑞典安全研究人員發現蘋果OS X“Yosemite”的一個嚴重漏洞,具體細節將等到明年一月才發表,以期給蘋果公司足夠的時間準備一個補丁程序。
該漏洞的首次描述出現于十月中旬,當時Truesec在視頻網站YouTube發布了一個視頻,粗略地描述了Yosemite的Bug。
Truesec研究員Emil Kvarnhammar表示,他找到一種方法可以繞過蘋果終端Shell的用戶控制機制,獲得Shell的根權限。蘋果終端的此漏洞因此可以令有心人無需超級用戶的密碼直接運行sudo指令,也就是說,可以以超級用戶的身份訪問Shell。
雖然Kvarnhammar沒有向外界公布漏洞是屬于純粹的本地攻擊性的或是屬于遠程攻擊性的,但從他給別人的建議來看,應是屬于后者。蘋果用戶首先要做的是,創建一個供日常用的新帳號(無管理員權限),平時的日常操作以此賬戶登陸進行,不要以管理員賬戶登陸進行“日常“操作。其次,用戶應該打開FileVault對硬盤驅動器加密。
瑞典媒體(網上可搜到)報道了Kvarnhammar的發現,消息其后在英語媒體里瘋傳。瑞典媒體稱,Kvarnhammar在OS X 10.8、10.9和10.10上測試過該Bug。Kvarnhammar證實,漏洞的存在至少可追朔到2012年,但極有可能要早得多。
京公網安備 11010502049343號