繼接連公布微軟多個逾期未補的Windows漏洞之後,Google旗下的網路抓蟲小組Project Zero又公布了3個蘋果Mac OS X的安全漏洞,蘋果已修補其中一個漏洞,另外兩個則預計於即將出爐的OS X 10.10.2中進行修補。

第一個漏洞與OS X的com.apple.networkd服務有關,該服務負責分析各種複雜的XPC訊息,XPC的主要功能為把程式拆分成不同的程序,但當中隱藏沙箱逃逸(sandbox escape)漏洞,使得駭客可執行任意程式。

其他兩個漏洞皆與蘋果平台所使用的裝置驅動程式框架I/O Kit有關,當中一個是因英特爾加速器無效指標參照而導致的OS X I/O Kit核心碼的執行,另一個則與藍牙的連結功能有關,可能造成I/O Kit的記憶體毀損。

這3個漏洞皆因達到Google預設的90天揭露期限而被自動公布,蘋果並未說明相關漏洞,但國外科技新聞網站認為,這3個漏洞看起來都不是太嚴重,因為駭客得先取得裝置的使用權限才能利用相關漏洞。

目前蘋果已修補第一個漏洞,針對其他兩個漏洞的修補也已出現在OS X 10.10.2的測試版中,因此當蘋果釋出OS X 10.10.2正式版時應該就可解決相關漏洞。(編譯/陳曉莉)

 


熱門新聞

Advertisement