環保公司環境消毒專家論壇

標題: KeySteal零日漏洞曝光研究者希望苹果提供macOS除虫奖励 [打印本頁]

作者: admin 時間: 2019-5-16 12:55
標題: KeySteal零日漏洞曝光研究者希望苹果提供macOS除虫奖励
本周，德国平安钻研职员 Linus Henze 发明了苹果 macOS 中一个被称作“KeySteal”的零日缝隙，并在 YouTube 上颁布了一段视频演示。对付别有居心的进犯者来讲，可借助歹意手腕从 Mac 上的 Keychain 利用步伐来采集全数的敏感信息，而无需办理员拜候权限（或办理员暗码）。

Keychain 会表露暗码和其它信息，和其它 macOS 用户的暗码详情。

鉴于苹果没有针对 macOS 的缝隙赏金规划，Henze 还没有选择向苹果分享缝隙详情，但暗示不会等闲将细节颁布。其在视频描写中写到 ——“全都怪苹果！”（So blame them.）

他在接管《福布斯》采访时称，查找缝隙操心费劲，向钻研者付出酬劳是理所当然的，由于咱们在帮忙苹果公司的产物变得加倍平安。

据悉，苹果有一个针对 iOS 挪动平台的嘉奖规划，为发明 bug 的人们供给赏金。遗憾的是，对付桌面平台的 macOS 体系，苹果并无雷同的除虫嘉奖。

德国网站 Heise Online 称，该缝隙容许拜候 Mac 上 Keychain 的内容，但不克不及拜候存储在 iCloud 中的信息。

Keychain 也必要被解锁，当用户在 Mac 上登录他们的帐户时，即会在默许环境下会产生。如需为 Keychain 利用加锁，可以经由过程办理员暗码来打开该 App，然后履行相干操作。

ZDNet 指出，苹果平安团队已同 Henze 取患了接洽，但后者回绝供给更多细节，除非苹果为 macOS 平台供给雷同 iOS 的除虫嘉奖。

KeySteal - Stealing your keychain passwords on macOS Mojave（via）

Henze 辩护道：“我这么做其实不是掉进了钱眼里，这点念头其实不足以促使我这么做。我是但愿苹果建立一个 macOS 赏金规划，这对该公司和钻研职员来讲都是一件功德”。

实在，这不是 macOS 中发明的首个与 Keychain 相干的缝隙。此前，平安钻研员 Patrick Wardle 也在 2017 年演示了一个雷同的缝隙（已被修复）。

[编译自：MacRumors]

揭阳防水便秘治療,,

歡迎光臨環保公司環境消毒專家論壇 (https://beatoo.com.tw/)