【新闻】谷歌公布Mac OS X三个漏洞

Ryans

Google旗下的Project Zero小组近来异常活跃，在曝光数个Windows漏洞之后，今天继续放大招，只不过这次中招的不再是Windows平台，而是向来以安全著称的苹果 Mac OS X平台。

据Ars Technica报道，Google在过去两天里接连爆出了三个Mac OS X漏洞。初步来看，这些漏洞并不具有高危性，因为在利用这些漏洞发起前，攻击者需要首先获得了目标机器的部分权限。此外，在第一个漏洞中所涉及的networkd effective_audit_token XPC很有可能已经在最新版的Mac OS X Yosemite中修复。



尽管这些漏洞可能并不会带来很高的直接风险，但利用多个漏洞也有可能达到特权提升控制被攻击Mac的目的。而更大的危险在于此次公布的漏洞中包括了POC（proof-of-concept，概念验证）漏洞代码，有经验的黑客可以根据泄露出的技术细节开发出针对性的攻击工具。

这些漏洞提交于2014年10月21日和23日提交，在超过90天的宽限期之后在近日被公开。此前项目小组曝光了微软正准备修复但因兼容性问题而推迟的漏洞，这引发了微软的不满，双方打了一阵口水仗。有人批评Google的不近人情，但也有计算机安全专家表示，Google出资支持的安全项目小组所给出的90天的宽限期是经过深思熟虑的，它希望能够借此推动安全漏洞的修复工作，警示互联网的安全风险。

Project Zero是Google在2014年7月15日组建的，成员既有来自Google内部的高级安全安全研究人员，也有一批白帽子，其中就包括在2007年第一个破解AT&T iPhone网锁并破解PlayStation 3的 George Hotz。