亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

桑心了，但這是真的：即使是最新Mac OS X Yosemite系統(tǒng)的Apple Mac電腦仍然會受到隱藏的后門“Rootpipe”攻擊。作為“2014年漏洞最多的操作系統(tǒng)”，Mac OS X 系統(tǒng)再曝漏洞不免讓人懷疑——難道是蘋果公司在“刷榜”么？

什么是“Rootpipe”漏洞？

這個漏洞由一個瑞典白帽子Emil Kvarnhammar在去年10月發(fā)現(xiàn)，但自2011年10.7版本發(fā)布以來就一直存在于Mac OS X系統(tǒng)中。

Kvarnhammar把這個漏洞稱為“Rootpipe”，因為該漏洞使蘋果OS X系統(tǒng)的Root權限大范圍開放。攻擊者“無需適當?shù)恼J證就能獲取管理員權限”。黑客在進行了優(yōu)先權攻擊后就能獲取Root權限（提供系統(tǒng)控制權），優(yōu)先權攻擊使他們能夠在目標電腦上遠程執(zhí)行代碼。

蘋果未能有效地隔離操作系統(tǒng)的各個部分，使黑客可以通過操作系統(tǒng)內(nèi)部的其他程序獲得Mac OS X的管理員權限。如果配合其他的攻擊手段，那么“Rootpipe”漏洞可能導致普通用戶的Mac電腦被黑客徹底攻陷。點擊Freebuf先前的報道，了解更多

Kvarnhammar表示那時蘋果公司要求他在今年1月前不要公開這個問題。結果直到今年4月蘋果公司才發(fā)布補丁，但是數(shù)百萬用戶仍然沒有得到保護。

低版本Mac就不管了，這樣真的好嗎？

本月初，蘋果公司發(fā)布了最新版的Mac OS X Yosemite系統(tǒng)，即OS X Yosemite 10.10.3，宣稱已經(jīng)修復了“Rootpipe”后門。

由于蘋果修補舊系統(tǒng)的政策，該公司不會消滅存在于的Mac OS X低于10.10系統(tǒng)版本的“Rootpipe”漏洞，也就是所有電腦上數(shù)千萬Mac用戶的電腦上將留下永久的后門。

保守估計30億互聯(lián)網(wǎng)用戶中有2%的人使用低于10.10的Mac OS X系統(tǒng)版本，這意味著6000萬臺Mac電腦容易受到Rootpipe攻擊。如果不那么保守的話，30億中的3%意味著9000萬臺PC容易受到攻擊，但這似乎有點極端。無論這些計算是多么地不精確，蘋果顯然已經(jīng)讓大量用戶暴露于風險之中。

更可怕的還在后面…

美國國家安全局（NSA）前雇員和網(wǎng)絡安全公司Synack研究主管Patrick Wardle撰文稱，在一次飛行途中，他發(fā)現(xiàn)一種新方法仍可以通過”Rootpipe“獲得高級權限。不過這次攻擊需要黑客獲得本地權限，即意味著可能通過Mac上的其他軟件漏洞來獲得。

Wardle說：這是個有趣的“漏洞”，它是“合法但沒有記錄的操作系統(tǒng)功能。不知道蘋果在添加這個功能時是怎么想的，沒有記錄并不意味著安全研究人員發(fā)現(xiàn)不了它，或者黑客不會用它來干壞事。坦白講，對于已經(jīng)能夠在一臺Mac電腦上執(zhí)行本地代碼的黑客而言，獲取OS X系統(tǒng)的Root權限不是什么難事，即使這臺電腦安裝了完整的更新和補丁。”

Wardle已經(jīng)向蘋果公司安全團隊報告了他的發(fā)現(xiàn)，同時在蘋果公司發(fā)布一個完整并且“堅不可摧”的修補之前他不會向公眾透露他的攻擊細節(jié)。（POC：https://objective-see.com/blog.html）

安全建議

現(xiàn)在，我們只是寄希望于蘋果公司發(fā)布一個更強大的“Rootpipe”補丁。蘋果上次花了六個月時間研發(fā)的新系統(tǒng)，Wardle僅僅在飛行途中就將其攻陷了。

蘋果最新的桌面操作系統(tǒng)更新包括了大約80個安全漏洞的補丁。用戶應該升級到最新的操作系統(tǒng)版本，不只是為了得到更多有趣的新表情符號，還是出于緊迫的安全原因。

文章來源：Freebuf黑客與極客（FreeBuf.COM）