谷歌：苹果又让一个macOS大漏洞晾了90天

据外媒报道，大约五年前，谷歌成立了Project Zero研究小组，以减少零日攻击对用户的影响。自那以来，谷歌向苹果等公司报告了大量漏洞。现在，Project Zero团队又披露了另一个“非常严重”的macOS内核漏洞——该漏洞允许攻击者控制Mac电脑——而且，苹果把这个漏洞晾了90天时间没管。

而在去年10月，谷歌曾指责苹果花了太长时间修复漏洞。

最新的macOS漏洞可能会影响数百万个Mac电脑用户，但这不是完全是因为玩忽职守所致。该漏洞可以让攻击者悄悄地修改已挂载的磁盘映像，然后侵入和控制MacOS的内存管理系统，使Mac电脑运行修改后的代码。

这个漏洞之所以如此严重，是因为用户总是挂载着磁盘映像，而MacOS在管理其有限内存的过程中会自动清除和重新加载内容，但不会重新检查磁盘映像。正因为如此，Mac电脑将不会知道它正在复制、修改并执行潜在的恶意代码。

尽管这听起来很危险，但Project Zero团队表示，苹果意识到了这个问题，并计划在未来的MacOS更新程序中修复它。自谷歌将该漏洞向苹果报告以来，时间已经过去了90天。研究人员正在与苹果合作开发一个安全补丁，但目前还没有发布补丁的时间表。

除了被谷歌批评解决漏洞太迟缓之外，苹果最近还因其解决漏洞的做法而遭到批评。

它明显忽略了其视频通话软件FaceTime中的一个令人震惊的漏洞，尽管有多个用户向它报告这个漏洞。直到新闻报道和社交媒体帖子开始大肆报道这个安全漏洞，苹果才开始重视起来。

上个月，一名德国研究人员批评苹果公司没有给报告MacOS漏洞的研究人员提供赏金，因此他拒绝向苹果披露一个严重的与密码相关的漏洞。但后来，他改变了主意。