Google 又在 Apple 推出修補前公開了一個 Mac 上嚴重的安全漏洞

Google 的 Project Zero 安全披露計劃稍早再顯雙面刃的本色，這回走上刑台的又是老面孔 macOS 啦。Google 指出 macOS 目前存在著一個嚴重的核心（kernel）漏洞，它能讓有心人士在虛擬管理子系統不會察覺的情況下，安然修改用戶掛載的系統檔案映像檔。對此 Apple 的修正檔仍在開發當中，相信在還未發佈前，Mac 用戶的心情多少會受到影響吧。

至於為何 Project Zero 會選在此時發布這項消息呢？像是去年 11 月時，Google 也是在 Apple 尚未修補漏洞前，就提前揭露了相關消息。說起來這都是由於該計畫遵循「90 天自動披露政策」的結果，無論修正措施是否已經備妥，它都會發布所偵測到的問題。然而事實上，Google 是可以為尚未準備好修正檔的公司提供 14 天寬限期的，只是 Apple 不見得名列於有緩衝資格的公司名單當中就是了。

目前該漏洞的嚴重性還難以估量，但與此同時，若身為 Mac 的用戶，多注意造訪的網站和下載的檔案看來是必須的。理論上來說，成功的攻擊可以繞過系統級別的安全防護，對 macOS 進行大規模的修改，而且相關損害或許需要很長的時間才能察覺。

來源: Monorail

經由: Engadget, Neowin, 9to5Google