谷歌的Project Zero团队最近异常活跃,在暴露了几个Windows漏洞后,今天继续放大招募,但这次不再是Windows平台,而是一向以安全著称的苹果OS X平台。
据Ars Technica报道,谷歌在过去两天里接连暴露了三个OS X漏洞。最初,这些漏洞并不是高风险的,因为在使用这些漏洞启动之前,攻击者需要先获得目标机器的一些权限。此外,第一个漏洞涉及的网络d ' effective _优艾设计网_设计圈 audit _ token ' xpc可能在最新版本的OS X Yosemite中已经修复。
虽然这些漏洞可能不会带来很高的直接风险,但也有可能利用多个漏洞达到特权提升和控制被攻击Mac的目的。更大的危险是,这次公布的漏洞包括POC(概念验证)漏洞代码,有经验的黑客可以根据泄露的技术细节开发针对性的攻击工具。
这些漏洞于2014年10月21日和23日提交,并在90多天的宽限期后于近期公开。此前,项目组曝光了微软准备修复但由于兼容性问题被延迟的漏洞,引起了微软的不满,双方打起了口水战。有人批评谷歌的不人道,但也有计算机安全专家表示,谷歌资助的安全项目组给出的90天宽限期是经过深思熟虑的,希望促进安全漏洞的修复,警示互联网的安全风险。
零号项目由谷歌于2014年7月15日成立。其成员包括来自谷歌的高级安全研究人员和一批白帽子,其中包括乔治霍兹,他是2007年第一个破解ATT iPhone锁和PlayStation 3的人。
精彩评论