苹果决定不修复 Big Sur 和 Catalina 中的这两个0day
编译:代码卫士
macOS 安全工具提供商 Intego 的首席安全分析师 Joshua Long 指出,“苹果选择将约35%到40%的所有受支持 Mac 暴露到已遭利用漏洞的风险中”。他解释称,“这两个macOS 版本表面上看仍然还接收严重漏洞的补丁,而0day 漏洞当然可被视作严重漏洞。苹果公司近十年来的一贯做法就是除修复当前macOS 版本外还修复此前的两个macOS 版本。但是,当前苹果公司忽略了 Big Sur 和 Catalina 版本,并未修复其中已遭活跃利用的漏洞。”
Intego 公司分析指出,Big Sur 用户仍然易受这两个代码执行漏洞影响,即使苹果公司已意识到这两个漏洞已遭在野利用。另外,分析指出Big Sur 受这两个漏洞影响,Catalina 版本受CVE-2022-22674影响;另外,这两个版本还受其它漏洞的影响。
Long 指出,曾多次试图和苹果公司取得联系,但并未收到任何回复。
他表示,“苹果公司并未回应我们提到的任何问题。目前仍不清楚苹果公司为何故意落下 macOS Big Sur,使其易受攻击。另外也不清楚之后是否会最终推出补丁(苹果公司或许已计划如此做或迫于公众压力)。”
和往常一样,苹果公司并未在安全公告中提供任何相关详情或妥协指标。
Intego 公司的分析可见:https://www.intego.com/mac-security-blog/apple-neglects-to-patch-zero-day-wild-vulnerabilities-for-macos-big-sur-catalina/
https://www.securityweek.com/intego-apple-leaves-big-sur-catalina-exposed-critical-flaws
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。