导读 据周末发布漏洞详细信息的开发者称,苹果公司已经10个多月未能修复macOSVentura应用程序管理功能中的错误。杰夫·约翰逊(JeffJohnson)于202...
据周末发布漏洞详细信息的开发者称,苹果公司已经10个多月未能修复macOSVentura应用程序管理功能中的错误。
杰夫·约翰逊(JeffJohnson)于2022年10月首次在他的博客上报告了该漏洞,几天前他已向Apple通报了该漏洞。问题在于去年macOSVentura中的一项功能,旨在确保不良行为者无法为已安装的应用程序发布恶意更新。
然而,去年秋天,约翰逊表示,他“发现了一种不需要完全磁盘访问的应用程序管理旁路”。当时,他拒绝提供此错误的详细信息,以便给苹果时间修复它。然而十个月后,这仍然是一个问题,约翰逊的耐心已经耗尽。
据AppleInsider报道,约翰逊在周末发布了一篇更新的博客文章,透露了该漏洞的情况。他“几乎是偶然地发现,沙盒应用程序可以修改它不应该修改的文件:经过公证的应用程序包内的文件,这些文件本应受到应用程序管理安全性的保护。”
约翰逊表示,这种推迟是“荒谬的”,他“对苹果及时解决这个问题失去了所有信心”。
发布这篇最新博客文章意味着约翰逊“牺牲了获得苹果安全赏金的机会”,尽管他承认“苹果没有承诺支付任何费用”,并且在问题解决之前不会进行支付。
“所以我可能会永远等待,什么也没有,”他补充道。“到目前为止,苹果一直在以0美元的价格&luo;购买&ruo;我的沉默,而且只是未来支付一些模糊的可能性。”
Johnson创建了一个示例Xcode项目作为演示,您可以下载;它在他的帖子中链接。他还发表了一篇后续文章,“试图以一种技术含量较低、对非开发人员更友好的方式解释该漏洞。”