概要 苹果预计（9月25日）推出最新版本的台式机和笔记本电脑操作系统—— macOS High Sierra（10.13）前几个小时，一位安全研究人员在推特上发布了一段视频，显示他在macOS High中发现零日漏洞塞拉利昂。 研究员是来自Cyber Security的Synack的首席安全研究员Patrick Wardle，他是前NSA黑客。在视频中，Wardle显示了“密码泄漏”漏洞的操作。 攻击者可以利用零日漏洞窃取用户钥匙串中的密码 据报道，密码存储在Mac的钥匙串中，Keychain是Apple的macOS中用于存储密码和帐户信息的密码管理系统。钥匙串可以包含多种类型的数据：密码（包括网站，FTP服务器，SSH帐户，网络共享，无线网络，群件，加密磁盘映像等），私钥，电子证书和加密备注。存储在钥匙串中的所有数据信息都是默认加密的，并且通常需要访问主帐户登录密码，以防止其他用户或第三方应用程序未经许可访问数据。 但是，Wardle已确认攻击者可以利用此漏洞从Internet下载未签名的应用程序，以明文/纯文本方式捕获和窃取存储在钥匙串中的数据，而无需使用主帐户登录密码。此外，Wardle还测试了High Sierra上发现的漏洞，发现旧版本的macOS和OS X也受到漏洞的影响。 沃德说： “这个漏洞利用了操作系统中的一个实现缺陷，它只是存在macOS操作系统中（不包括iOS），但我相信它会影响所有最新版本的操作系统。我还没有通过App Store的应用程序进行测试，但目前确实可以利用这个漏洞访问和转储用户的钥匙串，并且漏洞利用也不需要root访问。” Wardle补充说，他发现的零日漏洞可能被恶意软件或其他恶意应用程序用来从密钥链转储密码，然后过滤掉以发送到远程服务器供黑客使用。 漏洞演示视频 研究人员向苹果公司报告了该漏洞信息  沃德尔在接受采访时说， “我已经向苹果公司披露了这个漏洞，包括漏洞代码和非常详细的写法。所以，据我所知，苹果公司正在研究更新程序来修复该漏洞。不过，不得不承认，苹果公司的营销策略做得很好，它总是能够说服人们相信macOS是安全的，但我认为这是一种不负责任的行为，这样会导致Mac用户对自己的设备过于自信，从而忽略了安全问题。而我的目标就是要提高他们的安全意识。” 沃德继续补充， “作为一名资深的Mac用户，说实话，我对macOS系统的安全性一直感到十分失望，我并不是对苹果公司有个人偏见，只是每次看到macOS系统中的漏洞都会让我倍感失望。我认为用户应该知道哪里存在风险，而不是盲目自信地一味选择信任。” 此外，Wardle还在推文中建议Apple应该为macOS启动漏洞奖励计划。目前，Apple仅针对iPhone和iPad推出了漏洞奖励计划，为高风险安全启动固件漏洞支付高达20万美元。 Wardle本月披露的第二个High Sierra零日漏洞 Keychain漏洞实际上是Ward本月在macOS High Sierra操作系统中发现的第二个零日漏洞。 9月初，Wardle测试了Apple发布的新版操作系统，发现可以绕过macOS High Sierra（10.13）中一个名为“安全内核扩展加载（SKEL）”的新安全功能，导致恶意加载。内核扩展。 截至目前，Apple还没有透露补丁更新的具体细节。 本文转载自4hou.com 原文链接：http://www.4hou.com/info/news/7811.html 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。