各地车市: 广州 | 北京 | 镇江 | 苏州 | 南京 | 新疆 | 厦门 | 广西 | 天津 | 深圳 | 佛山 | 杭州 | 上海 | 合肥 | 河南 | 河北 | 太原 | 昆山 | 昆明 | 武汉 | 兰州 | 沈阳 | 西安 | 大连 | 福建 | 全国车市入口>>
位置: 汽车资讯报->国内新车->利用macOSHighSierra漏洞以虚拟点击就能绕过安全机制

利用macOSHighSierra漏洞以虚拟点击就能绕过安全机制

前NSA黑客、现任安全公司Digita Security研究长Patrick Wardle发现 macOS High Sierra有一去年发现可让黑客执行合成点击攻击的漏洞,现在又再次出现。Wardle...

前NSA黑客、现任安全公司Digita Security研究长Patrick Wardle发现 macOS High Sierra有一去年发现可让黑客执行合成点击攻击的漏洞,现在又再次出现。

Wardle上周在Def Con黑客大会上公布这项研究。合成点击原本是macOS中提供无法按鼠标的身障人士的一项功能,利用程序达到点击效果。为防止滥用,macOS加入“User-Approved Kext”的安全功能,要求用户必须在系统跳出的安全对话框中,以鼠标点击“允许”键才能放行,以防有人利用合成点击访问敏感数据或载入恶意程序。

不过Wardle指出mac OS High Sierra有个能放行合成点击的漏洞CVE-2017-7150。在macOS中,鼠标点击按(down)与放(up)被视为二个动作。他偶然发现,如果在up之前以程序代码制造连续二个down,就会被High Sierra误认为是合法的手动点击,等于是制造“虚拟”或隐形点击行为,模拟点击“OK”、“允许”等动作。

他指出,结合合成点击和该漏洞的结果非常危险,能轻松绕过苹果的User-Approved Kext及第三方安全工具,执行不可信赖的app、泄露keychain所有密码、安装系统核心扩展程序、授权对外网络连接,所有行为通通都可以,全部都不需要用户点鼠标。

事实上,Wardle去年就曾披露过这个的漏洞,苹果也曾经修补过。但他指出,这显示苹果的修补完全没有用,只要执行零时差攻击,即让未获授权的程序代码执行合成事件。

Wardle自己都颇为惊讶,因为只要简单二行程序代码就能完全瓦解这个安全机制,Apple Insider引述因为太简单了,他都不好意思说出来,“虽然我替苹果更感到不好意思”。

不过他表示,这项漏洞仅影响High Sierra。不会影响之前mac OS版本,而下一版的10.14 Mojave也已经完全封锁合成事件。




今天刊登了《利用macOSHighSierra漏洞以虚拟点击就能绕过安全机制》一文


此事更多最新报道请微信扫描二维码

热门推荐

手办在机箱里会发生什么?

出汗不等于排毒有时候出汗过多可能暗示著某种疾病

魅族全面屏设计专利大曝光16就长这样?

紧急提醒!手机充电2个致命操作!99%的人都会这么做……

淘汰下来的旧手机,竟可以改装成监控器?说出来你可能都不信

红米6A证件照现工信部或具备多彩机身

目前这4款旗舰并不值得入手,劝你不要盲目跟风

这届中国球迷多任性?盘点2018世界杯球迷画像
凯迪拉克XTS 普拉多 卡罗拉 普锐斯 丰田RAV4 宝马3系 宝马5系 宝马X1 标致408 标致307 凯越 昂科拉
返回汽车中国首页