據(jù)國(guó)外媒體報(bào)道, DYLD__TO_FILE的漏洞補(bǔ)丁剛剛發(fā)布數(shù)日，蘋(píng)果OS X Yosemite再曝新漏洞。這一漏洞由意大利開(kāi)發(fā)Luca Todesco發(fā)現(xiàn)。攻擊者需要用OS IOKit的空指針和Shell欺騙驗(yàn)證來(lái)進(jìn)行攻擊，利用此方法，黑客無(wú)需密碼即可獲取root權(quán)限。

一旦攻擊成功， 黑客則可以安裝惡意軟件或者對(duì)系統(tǒng)進(jìn)行其他改動(dòng)而不需要密碼認(rèn)證。 黑客也可以盜取用戶(hù)的敏感信息，如密碼或者銀行信息。 甚至可以格式化硬盤(pán)。

　　蘋(píng)果電腦更安全，不會(huì)遭受攻擊這樣的觀念已不再是事實(shí)。看來(lái)當(dāng)年之所以蘋(píng)果電腦可以獲得安全美名，是因?yàn)楹诳蛡冞€沒(méi)開(kāi)始重視。我們已習(xí)慣于Windows PC存在的各種漏洞。然而過(guò)去幾年，Mac電腦、iPad和iPhone也正在暴露越來(lái)越多的問(wèn)題。

Todesco在與公眾分享該漏洞之前，并未通知蘋(píng)果。所以蘋(píng)果的反應(yīng)速度有待觀察。DYLD__TO_FILE漏洞發(fā)現(xiàn)時(shí)，蘋(píng)果的反應(yīng)速度就遭到詬病。蘋(píng)果不認(rèn)錯(cuò)的態(tài)度更令許多信息安全工程師感到失望。與蘋(píng)果打交道并不容易。部分信息安全專(zhuān)家表示，即使他們報(bào)告了一個(gè)嚴(yán)重的軟件漏洞，蘋(píng)果也沒(méi)有像其他公司一樣積極響應(yīng)。

蘋(píng)果表示將在OS X EI中加入新的安全特性，“rootless”。該功能將限制第三方應(yīng)用程序修改系統(tǒng)的某些部分，即使他們以root身份運(yùn)行也不行。該功能有些類(lèi)似于iOS中沙盒的強(qiáng)化版。不過(guò)，目前Yosemite OS X的用戶(hù)應(yīng)該在日常應(yīng)用中避免以管理員權(quán)限賬號(hào)運(yùn)行，并使用蘋(píng)果FileVault工具進(jìn)行卷加密。