苹果Mac OS X重大安全漏洞被曝光，称可通过修改时钟来获取系统最高权限!目前苹果并未对此漏洞进行修复，下面一起来看下此漏洞内容吧!

约半年前，苹果Mac OS X中一个地址不明的安全漏洞被发现，恶意入侵者可通过修改用户的时钟，利用时间戳设置来绕开系统的常规授权验证方式，从而获得读取计算机所有文件的最高权限。该漏洞一直没有被修复，受影响的系统有OS X 10.7~10.8.4，苹果目前并没有做出回应。

该安全漏洞已经存在了将近半年的时间，安全漏洞测试工具Metasploit的开发人员现在创建了新的模块，从而可以更容易地发现Mac上的漏洞。该漏洞以Unix的“sudo”指令为基础，将允许或拒绝用户当前权限级别的操作。拥有最高级别权限的用户将可以访问其它用户的文件，尽管这些用户设置了密码保护。

利用该漏洞的方法

在把计算机时钟设为1970年1月1日后，系统会按照Unix时间戳的计算方式，从该天的0时开始计算日期与时间，这同时也就让用户绕过了系统时间和权限的限制。

受该漏洞影响的系统有OS X 10.7至OS X 10.8. 虽然Linux操作系统也存在同样的问题，但大部分都为修改时钟增设了密码保护。而在OS X中调整日期和时间时需要提供密码，这让Mac变得很不安全。

不过事情也没这么可怕，想要通过该方法绕开授权验证，入侵者必须以管理员权限登录Mac，而且之前至少运行过一次sudo指令。美国国 家漏洞数据库还强调到，试图获取最高权限的入侵者必须能够远程或是亲自登录目标计算机。

苹果目前并没有对此做出回应，Moors说道：我认为苹果应该严肃对待该问题，考虑到他们之前对漏洞问题的回应速度，这次回应缓慢也并不令人吃惊。

开源安全漏洞测试工具Metasploit的创始人、安全公司Rapid7的研究总监H.D. Moore说：这是一个重大的安全漏洞，任何级别的用户都可以通过它获得root权限。其它用户钥匙串中的密码将会暴露，入侵者将能够安装永久性的隐藏程序、木马。

绿茶小编猜你还喜欢：

苹果应用商店App Store漏洞依然存在：恶意程序能轻易通过审批

迅雷病毒事件内幕揭秘：还原迅雷病毒插件事件

相关阅读

• iOS 11.1 正式版今日发布，修复重大安全漏洞
• 苹果发布Java 6最新补丁 修正新发现的0day安全漏洞
• 支付宝快捷支付安全漏洞需警惕：5分钟可盗刷2万元
• 苹果Mac OS X安全漏洞:修改时钟来获取系统最高权限
• 支付宝安全漏洞曝光：来往可导致支付宝账号被破解
• 搜狗浏览器安全漏洞曝光：QQ授权登陆会同步其他用户账号密码
• 360安全漏洞曝光：用户密码可被随意修改(附漏洞解决方法)
• openssl安全漏洞介绍：openssl心脏出血漏洞防治方法
• openssl漏洞详情：openssl重大安全漏洞曝光
• 锤子时钟app好用吗 锤子时钟有情怀吗（下载地址）