新年快樂，這裏有一個Mac漏洞 - 彭博社

再次談論Mac安全問題。

布賴恩·克雷布斯在《華盛頓郵報》的安全修復博客上報道一位匿名安全研究人員以LMH為名，打算給蘋果帶來安全方面的麻煩。2007年1月將是“蘋果漏洞月”，LMH和他的合作伙伴凱文·芬尼斯特爾將每天揭示蘋果OS X中的一個安全漏洞。

LMH在這方面有歷史，他曾運行過內核漏洞月，旨在揭示Unix的漏洞。由於OS X源自BSD，而BSD本身是Unix的一種變體，因此Mac顯然受到了一些內核漏洞月披露的漏洞的影響，因為OS X被提到13次。在一篇帖子中，LMH用“Mac OS X用户和開發者，請小心（並注意）你們對二進制文件的處理。尤其是在嘗試分析一些‘無用的惡意軟件概念證明’時…”這樣的評論來嘲諷Mac用户。

Mac安全狀態是一個存在很多誤解的領域。我不知道我有多少次不得不糾正那些當面告訴我切換到Intel架構會增加Mac安全風險的人。錯了。他們通常對Boot Camp也説同樣的話。錯了。

儘管如此，我一直試圖在對Mac安全形勢的評估中保持現實。例如，我不建議Mac用户使用防病毒軟件，因為實際上沒有什麼Mac病毒可言。由於我相信絕對安全是不存在的，我認為對Mac OS的安全研究應該是坦誠、嚴格和持續的。唯一可能的結果是積極的：要麼沒有發現漏洞，要麼發現的漏洞最終得到修補。

但是通過羞辱公司來進行這種安全研究並不是正確的方法，因為對無辜旁觀者造成傷害的潛在風險增加。聯繫蘋果並告訴他們你發現了一些不廣為人知的問題，並給他們一個在公開漏洞性質之前修復它的機會，這是一回事。這位LMH在某種程度上試圖引起對他/她自己的關注，卻選擇公開羞辱蘋果，從而促使一些行動。

我聯繫了蘋果以獲取評論，以下是他們的回應：“蘋果非常重視安全，並在潛在漏洞影響用户之前有很好的記錄來解決這些問題。我們始終歡迎有關如何改善Mac安全的反饋。”

順便説一下，如果你是一名安全研究人員，並且知道Mac OS X內部有需要修復的內容，報告它的正確方式是：發送電子郵件至[email protected]。我被告知該電子郵件地址全天候監控。還有更多信息在這裏。

然而，鑑於這一努力似乎正在進行中，並且其主要參與者決心履行他們所聲明的使命，蘋果公司應該做的正確事情是做好準備應對。説到應對，我並不是指打電話給律師：我的意思是告訴安全小組的人員，無論好壞，他們都應該準備好在忙碌的1月中儘快填補漏洞。哦，還有關於安全沙皇的建議？我仍然認為這是個不錯的主意。