周一,帕特里克·沃尔勒,一名尊敬的安全研究员(Synack)和所有者客观看,送A.关于钥匙串漏洞的推文他在麦斯科高山脉中发现。随着他的推文所显示,恶意应用程序可以提取,然后从高塞拉中exfiltrate,钥匙串数据,密码清楚地暴露在纯文本中。

为了回应一些问题,Waterle还发布了一些其他信息帕勒顿的常见问题解答

本公告掀起了各种网站上的文章的Firestorm,不幸的是导致了很多FUD(恐惧,不确定性和怀疑)。在至少一个案例中,我看到一篇文章说,在安装高塞拉之前暂停,直到这个错误是固定的。似乎许多这些文章完全是基于该推文的内容,但更多的是要说的。

重要的是要理解人们应该等待高塞拉的想法是因为这个错误是一个非常糟糕的原因。

首先,随着Waterle在他的常见问题解答中指出,这个虫子也会影响Sierra并可能影响El Capitan。对于我们所知道的,它可能会再次返回到...只能测试旧系统可以肯定地说。所以,你可能已经有了漏洞,无论你是否升级到高塞拉。

其次,安装更新和升级是一个非常重要的事情,以保持自己的安全。如果您不更新,则不会获得重要的安全修复。如果由于一个漏洞(您已经容易受到攻击)跳过升级到高塞拉,这可能意味着您将继续容易受到在高塞拉中可能已修复的其他问题,但不在塞拉中易受攻击。

请记住,Mac修复极其严肃的Broadpwn漏洞显然只适用于麦斯科斯拉10.12.6。因此,MAC安全修复进入最后三个系统(El Capitan,Sierra和High Sierra)的古老常识似乎似乎仍然是真的,如果它真的是真的。

第三,让我们假装一会儿,这是一个只影响高塞拉的漏洞。如果你跳过高山脉,那意味着你认为这样做会让你安全的钥匙扣盗窃。再想一想。

例如,考虑中描述的问题Brenton Henry的博客帖子,其中Apple工具和AppleScript的组合可用于提取钥匙串的内容。虽然亨利帖子中使用的脚本在麦斯拉群岛上没有工作,但它可以修改为工作(尽管需要一些社交工程来让用户向脚本提供“辅助访问”)。

此外,这是一个众所周知脆弱性。这意味着任何能够进行谷歌搜索并找到更新脚本的脚本Kiddie就可以实现它;这并不难。没有人知道Waterle找到的脆弱性如何工作,只有它存在。

作为另一个例子,考虑5月的HandBrake应用程序的妥协,它导致了系统被质子恶意软件感染。在这种情况下,Proton能够成功地将用户欺骗到提供他们的密码,然后将其删除和其钥匙串文件(以及其他内容),可以在大多数情况下使用相同的密码解锁。

还有情况Dok恶意软件的一个有趣的样本我们的一个研究人员在一个垃圾邮件中收到的,它使用了一个开源Python远程访问工具(RAT),该工具(RAT)能够抵消钥匙串并令人信服地掌握用户的密码。

最后两个示例将在任何系统上工作,包括高塞拉,因为它们涉及盗窃用户的密码和钥匙串文件。

不要让我错了,这是一个非常糟糕的脆弱性,Apple应该尽快解决它。然而,这不是世界末日灾难,也不是避免安装高塞拉的充分理由。这里将总是是漏洞。保持系统和您的软件最新是您可以应对它们的最佳方式之一。