ອາມາຢາ ໂຕມານ ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພ Filippo Cavallarin ໄດ້ພິມຄໍາເຕືອນກ່ຽວກັບ bug ໃນ macOS 10.14.5 ໃນ blog ຂອງລາວ. ນີ້ປະກອບດ້ວຍຄວາມເປັນໄປໄດ້ຂອງການຂ້າມຜ່ານມາດຕະການຄວາມປອດໄພຂອງ Gatekeeper. ອີງຕາມການ Cavallarin, ລາວໄດ້ຊີ້ໃຫ້ເຫັນຂໍ້ຜິດພາດກັບ Apple ແລ້ວໃນເດືອນກຸມພາຂອງປີນີ້, ແຕ່ບໍລິສັດບໍ່ໄດ້ແກ້ໄຂມັນໃນການປັບປຸງຫລ້າສຸດ.
Gatekeeper ໄດ້ຖືກພັດທະນາໂດຍ Apple ແລະຖືກລວມເຂົ້າກັບລະບົບປະຕິບັດການ desktop ຂອງຕົນຄັ້ງທໍາອິດໃນປີ 2012. ມັນເປັນກົນໄກທີ່ປ້ອງກັນບໍ່ໃຫ້ແອັບພລິເຄຊັນເຮັດວຽກໂດຍບໍ່ມີຄວາມຮູ້ແລະການຍິນຍອມຂອງຜູ້ໃຊ້. ຫຼັງຈາກທີ່ທ່ານດາວນ໌ໂຫລດ app ໃດຫນຶ່ງ, Gatekeeper ຈະກວດສອບລະຫັດຂອງຕົນອັດຕະໂນມັດເພື່ອເບິ່ງວ່າຊອບແວໄດ້ຖືກເຊັນໂດຍ Apple ຢ່າງຖືກຕ້ອງ.
ມັນອາດຈະເປັນ ສົນໃຈເຈົ້າ
ໃນການຕອບ blog ຂອງລາວ, Cavallarin ສັງເກດວ່າ Gatekeeper, ໂດຍຄ່າເລີ່ມຕົ້ນ, ພິຈາລະນາທັງການເກັບຮັກສາພາຍນອກແລະການແບ່ງປັນເຄືອຂ່າຍເປັນສະຖານທີ່ທີ່ປອດໄພ. ຄໍາຮ້ອງສະຫມັກໃດໆທີ່ຢູ່ໃນເປົ້າຫມາຍເຫຼົ່ານີ້ສາມາດຖືກເປີດຕົວໂດຍອັດຕະໂນມັດໂດຍບໍ່ຈໍາເປັນຕ້ອງຜ່ານການກວດສອບ Gatekeeper. ມັນແມ່ນຄຸນສົມບັດນີ້ທີ່ສາມາດຖືກຂູດຮີດເພື່ອເປີດຕົວຊອບແວທີ່ເປັນອັນຕະລາຍໂດຍບໍ່ມີຄວາມຮູ້ຂອງຜູ້ໃຊ້.
ລັກສະນະຫນຶ່ງທີ່ອະນຸຍາດໃຫ້ເຂົ້າເຖິງໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດແມ່ນຄຸນນະສົມບັດ automount, ເຊິ່ງອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດເຊື່ອມຕໍ່ເຄືອຂ່າຍແບ່ງປັນອັດຕະໂນມັດໂດຍກໍານົດເສັ້ນທາງທີ່ເລີ່ມຕົ້ນດ້ວຍ "/net/". ເປັນຕົວຢ່າງ, Cavallarin ອ້າງເຖິງເສັ້ນທາງ "ls /net/evil-attacker.com/sharedfolder/" ເຊິ່ງສາມາດເຮັດໃຫ້ລະບົບປະຕິບັດການໂຫລດເນື້ອຫາຂອງໂຟນເດີ "sharefolder" ໃນສະຖານທີ່ຫ່າງໄກສອກຫຼີກທີ່ອາດຈະເປັນອັນຕະລາຍ.
ທ່ານສາມາດເບິ່ງວິທີການຂອງໄພຂົ່ມຂູ່ໃນວິດີໂອໄດ້:
ປັດໄຈອື່ນແມ່ນຄວາມຈິງທີ່ວ່າຖ້າບ່ອນເກັບ zip ທີ່ປະກອບດ້ວຍ symlink ສະເພາະທີ່ນໍາໄປສູ່ຟັງຊັນ automount ຖືກແບ່ງປັນ, ມັນຈະບໍ່ຖືກກວດສອບໂດຍ Gatekeeper. ດ້ວຍວິທີນີ້, ຜູ້ຖືກເຄາະຮ້າຍສາມາດດາວໂຫລດບ່ອນເກັບມ້ຽນທີ່ເປັນອັນຕະລາຍໄດ້ງ່າຍແລະ unzip ມັນ, ເຊິ່ງເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດດໍາເນີນການຊອບແວເກືອບທັງຫມົດໃນ Mac ໂດຍບໍ່ມີຄວາມຮູ້ຂອງຜູ້ໃຊ້. Finder, ເຊິ່ງເຊື່ອງບາງສ່ວນຂະຫຍາຍໂດຍຄ່າເລີ່ມຕົ້ນ, ຍັງມີສ່ວນແບ່ງຂອງຊ່ອງໂຫວ່ນີ້.
Cavallarin ກ່າວໃນ blog ຂອງລາວວ່າ Apple ດຶງດູດຄວາມສົນໃຈກັບຈຸດອ່ອນຂອງລະບົບປະຕິບັດການ macOS ໃນວັນທີ 22 ເດືອນກຸມພາຂອງປີນີ້. ແຕ່ໃນກາງເດືອນພຶດສະພາ, Apple ຢຸດເຊົາການຕິດຕໍ່ກັບ Cavallarin, ດັ່ງນັ້ນ Cavallarin ຕັດສິນໃຈເຮັດໃຫ້ເລື່ອງທັງຫມົດເປັນສາທາລະນະ.
ທີ່ມາ: FCVL
