摘要软件中的错误并非完全不同寻常,即使是可能危及系统安全性的错误。当然,这些最终会得到修复,但有些错误是时间敏感的,需要尽快推出补丁。
软件中的错误并非完全不同寻常,即使是可能危及系统安全性的错误。当然,这些最终会得到修复,但有些错误是时间敏感的,需要尽快推出补丁。不幸的是,一位安全研究人员指出,Apple 可能不会将此类漏洞视为紧急事项,因为它尚未针对 iOS 和 macOS 推出修复程序,该修复程序会堵塞 WebKit 错误,该错误不仅会导致 Safari 崩溃,还会留下为攻击者打开大门。
WebKit 是 Apple 不仅用于其 Safari 网络浏览器而且还用于在应用程序中显示网页或 HTML 内容的引擎。因此,它几乎存在于所有平台,包括移动和桌面平台,这意味着它的任何安全漏洞也可能影响所有这些平台。几周前,开源开发人员报告并修复了 WebKit 的 AudioWorklet 中的一个错误。
正如鬃毛所暗示的那样,AudioWorklet 负责播放音频内容,但该漏洞将允许黑客最终在暴露的设备上执行恶意代码。然而,实际上,这些黑客仍然需要通过一些障碍才能真正运行未经授权的代码。更具体地说,黑客必须首先绕过漏洞利用缓解系统,而这比利用这个 WebKit 缺陷更难做到。
然而,安全公司 Theori 想强调的是,苹果正在冒着补丁缺口的危险。补丁间隔是指在源头有可用的修复程序和最终将修复程序提供给用户之间的短暂机会窗口。在这种情况下,Apple 以外的开发人员修补了 WebKit AudioWorklet 错误,但该公司尚未实际推出。
正如Ars Technica 所指出的那样,这不是孤立的案例。Apple 有大量零日漏洞需要修复,其中八分之六是在 WebKit 中发现的。由于它几乎影响了 Apple 的所有设备,人们希望它也能更快地填补这些漏洞。
