安全研究人員 Patrick Wardle 在 macOS 中發(fā)現(xiàn)了重大安全漏洞，這個(gè)漏洞允許任意應(yīng)用，無(wú)論是簽名或者是未簽名的，從鑰匙串中提取明文密碼。Wardle 還在視頻中演示了這一系列操作。這次發(fā)現(xiàn)的安全漏洞情況比較嚴(yán)重，因?yàn)殍€匙串的數(shù)據(jù)是經(jīng)過(guò)256位 AES 加密的，也就是很難將其破解。

這次的 bug 影響所有版本的 macOS，包括剛發(fā)布的 High Sierra。

正常情況下，應(yīng)該只有申請(qǐng)?jiān)L問(wèn)的應(yīng)用可以解謎密碼，但這個(gè) bug 可以讓任意應(yīng)用提取和解謎所有儲(chǔ)存的密碼，而且不需要用戶參與。Wardle 在本月7日已經(jīng)將 Bug 遞交給蘋果，蘋果可能會(huì)在不久之后推出修復(fù)升級(jí)。