苹果手上或者还有另一个Gatekeeper平安破绽。研究员Filippo Cavallarin 具体介绍了一个macOS破绽,他说这个破绽能够让冲击者在没有平日的权限恳求的情形下安装恶意软件。因为Gatekeeper认为收集共享是不需要权限搜检的“平安”位置,是以入侵者只需诳骗用户安装个中一个共享来运行他们喜欢的应用法式。例如,具有准确符号链接的恶意建造的ZIP文件能够主动指导您接见冲击者拥有的网站,而且很轻易欺骗或人发布恶意应用法式 - 例如伪装成文档文件夹的病毒。
从理论上讲,这个问题如今应该已经解决了。Cavallarin说,他在2月22日通知Apple这个破绽,而且应该从macOS 10.14.5起头解决。但他说并不是说苹果公司已住手复原他的电子邮件了。在向Apple提出90天解决问题之后,他正在发布这个破绽。
我们已经要求Apple揭橥谈论。当您不得不打开ZIP文件以及收集共享内部的任何内容时,无意中露出的或者性不高,但这或者会使那些不熟悉长途共享或未经恳求的文件风险的人绊倒。它还强调了明确信任某些收集情况的风险,即使平日有充裕的来由。
