登陆与注册×
两周内自动登陆 忘记密码?


注册

xjjsgb.com最近,CoreLabs的研究人员发现了OS X网络沙箱例程中的一个漏洞,该漏洞允许沙盒程序绕过OS对其施加的一些限制。并且盒子应该限制程序对硬件的访问(摄像头,网络和麦克风)以及系统中的软件服务(地址簿,日历和目录服务),但在这种情况下,CoreLabs研究人员发现,具有有限网络访问权限的程序可以使用AppleScript背后的技术称为“Apple Events”来获取访问网络资源。这意味着沙盒程序被黑客攻击的可能性很小,或者它崩溃或有错误,那么它可能能够访问网络并发送数据;然而,这并不是一个严重的问题,即使表面上看起来似乎也是如此。开箱即用是开发人员限制其程序访问系统资源(如文件访问和网络访问)的自愿方式,以保持系统如果程序变得不稳定,被黑客入侵或以其他方式受到损害,则可以安全地使用该程序。在某种程度上,它就像是在狗身上系上皮带,以确保即使训练得当,如果语音命令或其他选项不起作用,仍然可以控制狗。对于OS X上的沙盒,皮带不是必需的,但被视为相互尊重并且对社区有益。虽然CoreLabs的这一发现在技dgghyy.cn术上被认为是一个漏洞,因为沙盒是自愿的,这种发展更多的是一个缺陷描述而不是改变操作系统的安全性。沙盒具有鼓励开发人员使用的好处,但它确实给开发人员带来负担和限制,因此至少目前它不是操作系统中的要求(尽管它很快将用于通过Mac App Store分发的应用程序)。因此,即使沙箱中有一个洞,由于它不是OS X安全的一个组成部分,因此没有真正的安全问题。在回归狗皮带类比时,这种发展类似于有人发现皮带扣可能如果使用不当会打破,但由于大多数狗都很有礼貌,即使有这个缺陷,皮带也会很好。然而,在极少数情况下,由于缺陷,自愿牵引的超级狗可能会逃脱并导致问题。总的来说,这一发展表明OS X中的沙箱例程正在测试中,其中的缺陷正在根除,以帮助开发人员保证用户免受程序中任何不可预见的问题的影响。因此,这个消息对于开发人员和用户来说都是好消息,因为它确保自动沙盒化的应用程序不允许破坏沙箱规则,并确保按照预期行事。问题?评论?有修复吗?将它们发布在下面或发送电子邮件给我们 请务必在Twitter和CNET Mac论坛上查看我们。www.hnhicon.com