據(jù)科技博客AppleInsider北京時間9月25日報道，蘋果公司今天向全球用戶推送了最新macOS Mojave系統(tǒng)。但是，一位安全研究人員稱，新系統(tǒng)包含一個安全保護執(zhí)行漏洞，可能會導致個人用戶數(shù)據(jù)泄露。

　　安全公司Digita Security首席研究員帕克里克·瓦德里(Patrick Wardle)對這個明顯漏洞進行了介紹。他指出，該漏洞會允許一款無特殊權限的應用繞過系統(tǒng)內建的系統(tǒng)級權限，獲取特定應用的用戶信息。瓦德里已披露了大量與蘋果相關的安全問題，最近的一個是熱門Mac應用Adware Doctor秘密記錄用戶信息。

　　在今年6月舉行的全球開發(fā)者大會上，蘋果推出了一組增強版macOS安全功能，要求用戶向其他人使用選定的應用和硬件提供明確許可。具體來說，用戶需要就Mac攝像頭、麥克風、郵件歷史、消息、Safari等信息的訪問提供授權。

　　瓦德里向Twitter上傳了一段短視頻，演示了如何繞過其中的至少一個保護機制。他先是利用終端嘗試訪問和復制聯(lián)系人，結果失敗，這是在蘋果安全機制防護下的一個預料之中的結果。接著，瓦德里又運行了一個無特殊權限的應用，名稱為“入侵Mojave”(breakMojave)，尋找和訪問Mac的通訊錄。

　　在成功訪問后，瓦德里能夠運行一個目錄命令，查看私人文件夾里的所有文件，包括元數(shù)據(jù)和圖片。瓦德里在接受采訪時稱，這次演示并不是繞過增強后權限的“通用方法”，但是可以用于在用戶登錄macOS后獲取受保護的數(shù)據(jù)。就其本身而言，它不大可能對多數(shù)用戶造成重大問題，但是可能會在特定情況下引發(fā)麻煩。

　　他并未公布這個漏洞的細節(jié)以保護公眾，但表示他演示這一漏洞為了吸引蘋果的注意，因為該公司并沒有為Mac設立漏洞獎勵機制。

　　蘋果在2016年推出了iOS漏洞獎勵計劃，對安全啟動固件部分相關的漏洞最高獎勵20萬美元。不過，蘋果并未為Mac設立一個類似的獎勵機制。隨著這一漏洞的公開，蘋果肯定會詢問漏洞細節(jié)，并在下一個更新中打上補丁。