macOS 鑰匙圈功能爆出漏洞，最新 High Sierra 版本也在其中

【Technews科技新報】蘋果 macOS High Sierra 正式版已在 25 日開放下載，但在發布前幾個小時，國外媒體紛紛報導信息安全研究員發現 macOS 存在零日漏洞，不法黑客可藉機竊取用戶資料。

曾入侵 NSA（National Security Agency，美國國家安全局）的黑客、現為信息安全公司 Synack 研究員的 Patrick Wardle，日前發現蘋果 macOS 密碼管理功能 Keychain（鑰匙圈）的零日漏洞（Zero-day exploit）。

Keychain 自 macOS 8.6 及後續版本就被匯入到核准的蘋果設備，包含密碼、私鑰、電子憑證等多種類型的數據資料。Patrick Wardle 創造一款名為「KeychainStealer」的驗證程序，藉以示範透過該漏洞竊取 Keychain 里儲存網站或服務的密碼及信用卡資訊，如影片所示。

Patrick Wardle 已在本月初向蘋果回報漏洞，可惜的是在最新發布的 macOS High Sierra 正式版本卻未修復。他表示身為一名熱情的 Mac 用戶，對 macOS 的安全性感到失望，他覺得用戶應該要知道哪些使用狀況處在危險中。

此外，Patrick Wardle 也建議官方應祭出一套 macOS 的漏洞回報獎勵計劃，該公司目前僅針對回報 iPhone 與 iPad 的漏洞，提供最高 20 萬美元獎金。

蘋果透過國外媒體 CNET 回應，macOS 內建的 Gatekeeper 功能預設阻止惡意軟體和不當 Apps 從網路下載並發出警告，該公司也呼籲使用者應透過信賴的來源如 Mac App Store 下載 Apps，並留意 macOS 發出的安全通知，但未進一步說明何時修補漏洞。

（首圖來源：蘋果）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！