蘋果OS X Yosemite驚現(xiàn)嚴(yán)重Shell漏洞
責(zé)編:admin |2014-11-06 16:40:22瑞典安全研究人員發(fā)現(xiàn)蘋果OS X“Yosemite”的一個嚴(yán)重漏洞,具體細(xì)節(jié)將等到明年一月才發(fā)表,以期給蘋果公司足夠的時間準(zhǔn)備一個補(bǔ)丁程序。
該漏洞的首次描述出現(xiàn)于十月中旬,當(dāng)時Truesec在視頻網(wǎng)站YouTube發(fā)布了一個視頻,粗略地描述了Yosemite的Bug。
Truesec研究員Emil Kvarnhammar表示,他找到一種方法可以繞過蘋果終端Shell的用戶控制機(jī)制,獲得Shell的根權(quán)限。蘋果終端的此漏洞因此可以令有心人無需超級用戶的密碼直接運(yùn)行sudo指令,也就是說,可以以超級用戶的身份訪問Shell。
雖然Kvarnhammar沒有向外界公布漏洞是屬于純粹的本地攻擊性的或是屬于遠(yuǎn)程攻擊性的,但從他給別人的建議來看,應(yīng)是屬于后者。蘋果用戶首先要做的是,創(chuàng)建一個供日常用的新帳號(無管理員權(quán)限),平時的日常操作以此賬戶登陸進(jìn)行,不要以管理員賬戶登陸進(jìn)行“日常“操作。其次,用戶應(yīng)該打開FileVault對硬盤驅(qū)動器加密。
瑞典媒體(網(wǎng)上可搜到)報(bào)道了Kvarnhammar的發(fā)現(xiàn),消息其后在英語媒體里瘋傳。瑞典媒體稱,Kvarnhammar在OS X 10.8、10.9和10.10上測試過該Bug。Kvarnhammar證實(shí),漏洞的存在至少可追朔到2012年,但極有可能要早得多。
- 零售巨頭因勒索攻擊運(yùn)營中斷數(shù)月,預(yù)計(jì)損失近30億元
- Pwn2Own 2025柏林黑客大賽:冠軍團(tuán)隊(duì)斬獲32萬美元
- AI驅(qū)動時代,安全跨越鴻溝的困境和機(jī)遇
- 曝光:國內(nèi)某打印機(jī)官方軟件感染竊密木馬超半年
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運(yùn)冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財(cái)報(bào)
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元