最近在 macOS 中发现的一个漏洞可导致 15 年前的 macOS 版本的整个系统受到攻击。该漏洞位于”IOHIDFamily”组件中（过去曾被臭名昭著地用于利用各种竞争条件导致系统受损），但该漏洞本身似乎无法远程利用，尽管它已经存在了至少 15 年。

仅由对 Mac 的本地访问触发，10.13.1 之前的所有 macOS 版本似乎都会受到影响。安全研究人员 Siguza 警告说，如果”休眠程序”（或具有类似行为的恶意软件）在激活漏洞之前只是等待用户注销、重新启动或关闭，则该漏洞仍然可以被武器化以供远程利用。

“它的行为就像用户实际上选择通过 GUI 注销一样——这意味着具有未保存更改的应用程序仍然可以中止注销，或者至少提示确认（一个例子是带有运行命令的终端） ），”根据 Siguza 的 有关该漏洞的详细技术文章。 “但其次，除了注销之外，关机或重新启动也可以。这产生了一个有趣的可能性：我们可以编写一个休眠程序，然后等待条件变得有利 – 我无法获得任何统计数据，但我假设大多数 Mac 最终会手动关闭或重新启动，而不是仅仅继续运行由于恐慌而下降。”

研究人员选择在 通过 Twitter 宣布该漏洞，理由有两个：Apple 没有针对 macOS 的 bug 赏金计划，并且该漏洞并未在 Twitter 上发布。开箱即可远程利用，限制网络犯罪分子的潜在”用例”。

“我的主要目标是让人们阅读这篇文章”阅读他的推文。 “我不会把产品卖给黑帽子，因为我不想帮助他们。如果他们的漏洞赏金包括 macOS，或者漏洞可以远程利用，我就会向 Apple 提交。”

尽管苹果尚未对这个问题发表评论，但该公司最近经常成为头条新闻，因为它必须解决一些围绕琐碎问题的安全问题，例如未经身份验证的”root”访问。但是，每当有补丁可用时，强烈建议用户立即下载并安装它。

同时，专为 macOS 设计的安全解决方案还可以防止网络犯罪分子和恶意软件，因为它可以阻止、检测和删除任何可能危及您的 Mac 或数据安全的恶意应用程序。