谷歌旗下安全实验室在过去几年已经曝光过微软的诸多漏洞,是的在微软未完成修复的情况下公开漏洞细节。
虽然微软很不爽并公开发文指责谷歌漠视用户安全,但谷歌并没有改变然后继续按原定的计划公开各个漏洞。
按谷歌固定漏洞发现后立即通知开发商并给予90天的修复期限,到期后无论漏洞是否被修复都会被自动公开。
这次被公开的是macOS内核漏洞:
谷歌研究人员此前发现 macOS 内核某些情况下允许写入时复制,但任何复制的内存都不可用于修改源进程。
虽然写入时复制本身是没有缺陷的资源管理技术,但苹果在部署该技术时可能哪里有问题导致出现安全漏洞。
研究人员称如果修改用户拥有的已挂载文件系统映像,则内核不会通知虚拟管理子系统处理这些数据的更改。
这意味着在攻击者可能会在挂载的文件系统不知道的情况下采取恶意操作,例如在磁盘系统里植入恶意文件。
苹果表示暂时还没办法修复问题:
谷歌在去年 11 月已经将此漏洞提交给苹果并得到苹果确认,不过三个月后的现在苹果依然还没有修复漏洞。
苹果最新给出的回复是暂时还没有办法修复漏洞,同时也在与谷歌研究人员合作致力于彻底解决此安全漏洞。
不过尚不清楚苹果是否申请延期公开漏洞,对于漏洞非常严重时谷歌允许开发商申请延期公开获得更多时间。
当然也有可能是苹果已经向谷歌申请延期而谷歌认为苹果的理由不够充分,所以现在期满后自动公开了漏洞。
原创文章,作者:Maggie-Hunter,如若转载,请注明出处:https://blog.ytso.com/31556.html