日前剛開放下載的最新蘋果macOS High Sierra,經美國資安研究員查證發現,日前提及的Keychain漏洞資安問題,在新版本中依然沒有被修正,使得使用者在更新之後,依然有可能遭到駭客竊取個人資料。
根據外媒ZDnet報導指出,資安公司研究員 Patrick Wardle,日前發現蘋果 macOS 密碼管理功能 Keychain有著名為零日漏洞 (Zero-day exploit)的資安問題,然而在本月初Patrick Wardle向蘋果通報此一問題之後,在後續蘋果更新推出了最新版的macOS High Sierra當中,發現依然沒有針對此漏洞提供修補方式,使得在使用者即使更新到最新版本,依然能有能遭遇到駭客入侵,竊取資料。
資安公司研究員 Patrick Wardle曾入侵過美國國家安全局,原本就當過駭客的他,創造了一款名為「KeychainStealer」的驗證程式,並使用該程式示範如何透過漏洞竊取 Keychain 裡,使用者的網路密碼、信用卡等相關資料。但在通報後,蘋果似乎沒有重視這個問題的存在。而身為果粉的他,對於 macOS 的安全性以及蘋果的處理方式感到失望。
而後續蘋果向CNET表示,macOS 內建的 Gatekeeper 功能可阻止並警告使用者惡意軟體的侵襲,並呼籲使用者應透過信賴的來源如 Mac App Store 下載 Apps,同時留意 macOS 發出的安全通知,但卻未進一步說明何時將修補漏洞。
所謂的零日漏洞是用來表示程式中,沒有專屬或是能從旁輔助修復的問題漏洞,使之成為駭客熱愛入侵的途徑,甚至也是駭客拿來衡量一個駭客能力強弱的標準,而由於沒有修補程式,若是開發方後續無針對此漏洞做改善,將會成為該程式資安上的嚴重問題。
