原标题:包括High Sierra等macOS的Keychain遭爆有漏洞,脸书、app密码可被看光光
示意图,与新闻事件无关。
图片来源:Apple
新一代macOS作业系统High△Sierra预定今(26)日才要正式开放下载,不过有研究人员发现指出,High△Sierra及早前的macOS的Keychain功能出现漏洞,可让骇客以明码取得各项app的密码。?
Keychain是可存放Mac电脑中各app及网站密码的地方,需要有主密码以登入存取。但前国安局骇客,现为资安公司Synack首席研究员Patrick△Wardle在推特贴出的一段视频,他利用制作的概念验证app△KeychainStealer,示范密码窃取攻击。
在视频中,只要使用者以网络下载未签章的应用程序,骇客就能在远端伺服器上执行常见的网络测试工具Netcat借此取得使用者电脑中的脸书、推特以及网络银行密码,过程中不需使用者做什么事,而且app或macOS也都完全没有发出任何告警或要求许可。?
Wardle指出,其实除了High△Sierra,任何版本macOS都有这项漏洞。事实上,去年7月就曾经爆发过这项漏洞,可使Keychain所有密码以明文显示,连mac△OS△X△10.10、10.11.5都未能幸免于难。?
Wardle表示,他本月稍早即通知苹果,但觉得苹果还没修补好High△Sierra这项漏洞就要开放大众下载,因此决定提早爆料。他也对macOS的安全性感到失望。?
苹果对媒体发表声明,macOS上的安全检查功能Gatekeeper会在使用者安装未签章的app时发出警告,以及禁止app在未经用户同意前启动。苹果也呼吁用户不要从不明的第三方软件市集下载软件,并确实留意macOS发出的安全通知。
相关:
macOS High Sierra 的APFS档案系统不支援融合硬盘
图片来源: Apple 即将在下周正式开放下载的新一代macOS△High△Sierra△有许多更新之处,其中包括了号称存取档案更快、具备加密及稳定性的APFS档案系统,不过却有个美中不足之处,APFS并不支援融合硬盘(Fusion△Dri
示意图,与新闻事件无关。 图片来源: VMware VMware上周修补3个产品漏洞,其中的CVE-2017-4924含有允许访客执行程式的安全漏洞,影响VMware△ESXi、Workstation与Fusion。CVE-2017-4924漏洞藏匿在VMware的内建显卡
示意图,与新闻事件无关。 图片来源: Samsung 就在自动驾驶车正风起云涌之际,三星电子(Samsung△Electronics)周四(9/14)宣布设立三星汽车创新基金(Samsung△Automotive△Innovation△Fund,SAIF),以3亿美元
调查:Equifax资料外泄起自早被修补的Apache Struts漏洞,20万笔卡号外流
示意图,与新闻事件无关。 图片来源: 维基共享资源;作者:U.S. Navy△photo△by△Mass△Communication△Specialist△2nd△Class△LaTunya△Ho 上周美国第三大消费者信用报告业者Equifax发生网站被骇,导致美国史上
示意图,与新闻事件无关。 图片来源: Microsoft△ 微软在本周二(9/12)的安全更新中一举修补了81个安全漏洞,包含27个重大(Critical)漏洞、52个重要(Important)与2个中等漏洞,其中的CVE-2017-8759则是已遭到