網絡安全專家 Jeff Johnson 在 2022年10月向 Apple 發布一份系統漏洞的報告。報告稱 Jeff Johnson 在 macOS 系統的應用管理(App Management)中發現了安全漏洞。疑惑的是在向 Apple 反饋之後至今仍未修復。為了大眾的信息安全,催促 Apple 修復漏洞,Johnson 在近期披露了漏洞相關細節。
在 Johnson 近期發布的博文中可以了解到漏洞的工作原理,還有應用程式怎麼利用漏洞繞過 sandbox。通過該安全漏洞有多達6種方式可獲得最高權限,可實現在未經用戶許可的情況下修改其它應用程式,獲取相關資料。
由於漏洞存在隱患,Johnson 在去年 10月於個人博客上發布博文,介紹了 App Management 漏洞的 5種利用方式,表示留意到了潛在的第6種利用方式。
在 Johnson 發現去年 10月發現漏洞之後,就立刻向 Apple 報告,隨後收到了 Apple 的承認報告。可惜的是 Apple 似乎並不重視,至今仍未修復該漏洞。
值得一提的是,按照安全行業規則,Johnson 通常可以在 90天后披露漏洞細節,可在給 Apple 預留足夠時間的情況下,卻仍未進行修復。
