CNET科技资讯网5月23日国际报道 尽管上周苹果已经升级了其最新版本的操作系统,解决了widget中的安全问题,但对widget可能会对构成严重威胁的担心仍然存在。
据苹果上周三晚些时候发表的一份安全公告称,Widget用于Tiger 中的Dashboard ,黑客可以编写在Mac OS X 1.4 Tiger上运行的恶意widget,这些恶意widget在后台运行,并利用用户的“sudo”权限。获得了管理员权限,黑客能够获得完全的控制权。
上周一,苹果发布了Mac OS X 10.4.1 ,修正了与widget相关的一个安全缺陷。在该缺陷没有修正前,widget下载和安装时用户不会得到系统的警告。安装补丁软件后的Mac 会显示一个对话框,要求用户同意下载widget,但没有告诉用户他的同意还会安装该widget. 据软件工程师乔纳森表示,尽管补丁软件降低了危险,但widget中仍然存在安全问题。他在接受采访时说,这些widget绝对不应当获得系统管理员权限。乔纳森还对苹果解决widget存在问题的方式非常不满意,他说,用户应当被明确告知,他们的同意不仅会导致widget的下载,还会导致widget的安装。
乔纳森说,在安装后,恶意widget可以在后台运行,等待用户以系统管理员身份运行,然后它就可以获得系统管理员身份。他表示,这可能使黑客获得Keychain工具中的用户名、密码清单。他建议用户只从信任的网站上下载widget。
