潛伏 11 年!macOS 現「萬年漏洞」令惡意軟件繞過簽名檢查

macos security tools 11 yrs vulnerable 00a

macos security tools 11 yrs vulnerable 00

要安裝第三方 macOS 軟件,軟件的要通過第三方安全工具的簽名檢查,但是最近這個機制出現了一個萬年漏洞,令惡意軟件可以繞過簽名檢查,安裝到 macOS 之中。

這個萬年漏洞是從 2007 年 OS X Leopard 開始,潛伏了足足 11 年才被發現。從 Ars Technica 網站的報導指,這個萬年漏洞以二進制格式進行,包含多年來用於 Mac 不同 CPU 編寫的文件,透過第三方工具修改 App 的簽名,令 macOS 以為這個惡意 Mac App 是由蘋果官方簽署的,有系統保安專家形容用這個方法繞過蘋果第三方安全工具檢查非常「容易」,令惡意軟件可以透過「蘋果簽名」傳播開去。

macos security tools 11 yrs vulnerable 01

上述漏洞是由系統保安公司 Okta 的工程師 Joshua Pitts 在 2 月份發現並呈報給蘋果和第三方開發人員,蘋果曾在 3 月透露第三方開發人員需要進行額外的工作驗證 App 簽名的身份是相同的。

加入本站 WhatsApp 頻道最新限免情報立即知。

全新本站官方《限時情報王》 iOS 版 登場。限免已完結?不想錯過重大限免應用,可到本站追蹤 Telegram 頻道FacebookIG