OS X 10.10.5曝出新的特权提升漏洞

周末的时候，Luca Todesco在GitHub上分享了有关“tpwn”漏洞的详情，该漏洞使得攻击者能够获得root级别的Mac访问权限。 据悉，该漏洞影响所有版本的OS X Yosemite（包括OS X 10.10.5），但并不会影响最新的OS X EI Capitan。

鉴于Todesco在公布前并未提前知会苹果，所以我们暂不知道该公司会何时给出修复。

Apple Insider网站指出，为了防止黑客利用安全漏洞进行不可告人的活动，安全研究和开发人员理当遵守“先礼后兵”的标准流程。

不过Todesco表示，曝出该漏洞与披露iOS越狱方法没啥区别，且他也同时放出了某个“第三方修复”补丁。（尽管Engadget指出此举的风险要远胜于iOS越狱）

从技术层面上来讲是真实的，但他们却在发布信息的时候对实际风险轻描淡写。很多人都没有足够的知识去尝试第三方方案、以及由此可能带来的副作用，而越狱至少是用于‘半无害化’的目的。一个‘惊喜’的Mac漏洞只是给攻击者们送去了大把的时间。

据悉，为了修复OS X 10.10.5上的“DYLD_PRINT_TO_ACCESS”漏洞，苹果花费了不到一个月的时间（从漏洞公布时算起）。

尽管目前暂无漏洞利用报告，但我们还是推荐OS X Yosemite用户仅从Mac App Store上下载来自可信开发者的应用来保护自己，或者将系统升级到最新的OS X EI Capitan。