據(jù)科技博客AppleInsider北京時間9月25日報道，蘋果公司今天向全球用戶推送了最新macOS Mojave系統(tǒng)。但是，一位安全研究人員稱，新系統(tǒng)包含一個安全保護(hù)執(zhí)行漏洞，可能會導(dǎo)致個人用戶數(shù)據(jù)泄露。

　　安全公司Digita Security首席研究員帕克里克·瓦德里(Patrick Wardle)對這個明顯漏洞進(jìn)行了介紹。他指出，該漏洞會允許一款無特殊權(quán)限的應(yīng)用繞過系統(tǒng)內(nèi)建的系統(tǒng)級權(quán)限，獲取特定應(yīng)用的用戶信息。瓦德里已披露了大量與蘋果相關(guān)的安全問題，最近的一個是熱門Mac應(yīng)用Adware Doctor秘密記錄用戶信息。

　　在今年6月舉行的全球開發(fā)者大會上，蘋果推出了一組增強(qiáng)版macOS安全功能，要求用戶向其他人使用選定的應(yīng)用和硬件提供明確許可。具體來說，用戶需要就Mac攝像頭、麥克風(fēng)、郵件歷史、消息、Safari等信息的訪問提供授權(quán)。

　　瓦德里向Twitter上傳了一段短視頻，演示了如何繞過其中的至少一個保護(hù)機(jī)制。他先是利用終端嘗試訪問和復(fù)制聯(lián)系人，結(jié)果失敗，這是在蘋果安全機(jī)制防護(hù)下的一個預(yù)料之中的結(jié)果。接著，瓦德里又運行了一個無特殊權(quán)限的應(yīng)用，名稱為“入侵Mojave”(breakMojave)，尋找和訪問Mac的通訊錄。

　　在成功訪問后，瓦德里能夠運行一個目錄命令，查看私人文件夾里的所有文件，包括元數(shù)據(jù)和圖片。瓦德里在接受采訪時稱，這次演示并不是繞過增強(qiáng)后權(quán)限的“通用方法”，但是可以用于在用戶登錄macOS后獲取受保護(hù)的數(shù)據(jù)。就其本身而言，它不大可能對多數(shù)用戶造成重大問題，但是可能會在特定情況下引發(fā)麻煩。

　　他并未公布這個漏洞的細(xì)節(jié)以保護(hù)公眾，但表示他演示這一漏洞為了吸引蘋果的注意，因為該公司并沒有為Mac設(shè)立漏洞獎勵機(jī)制。

　　蘋果在2016年推出了iOS漏洞獎勵計劃，對安全啟動固件部分相關(guān)的漏洞最高獎勵20萬美元。不過，蘋果并未為Mac設(shè)立一個類似的獎勵機(jī)制。隨著這一漏洞的公開，蘋果肯定會詢問漏洞細(xì)節(jié)，并在下一個更新中打上補丁。