大約五年前，谷歌成立了Project Zero研究小組，以減少零日攻擊對(duì)用戶的影響。自那以來(lái)，谷歌向蘋(píng)果等公司報(bào)告了大量漏洞?，F(xiàn)在，Project Zero團(tuán)隊(duì)又披露了另一個(gè)“非常嚴(yán)重”的macOS內(nèi)核漏洞，蘋(píng)果竟然把這個(gè)漏洞晾了90天時(shí)間沒(méi)管。

谷歌解釋稱，該漏洞允許攻擊者在不通知虛擬管理子系統(tǒng)更改的情況下，修改用戶擁有的掛載文件系統(tǒng)映像，這意味著黑客可以在用戶不知情的情況下修改文件系統(tǒng)映像。

據(jù)谷歌稱，蘋(píng)果公司目前尚未解決這個(gè)問(wèn)題。一些外媒就此問(wèn)題與蘋(píng)果公司進(jìn)行了聯(lián)系，目前還沒(méi)有解決方案。蘋(píng)果打算在未來(lái)的版本更新中解決這個(gè)問(wèn)題。

為什么蘋(píng)果還沒(méi)有提供解決方案谷歌就把漏洞公開(kāi)？這與 Project Zero 團(tuán)隊(duì)的原則有關(guān)。該團(tuán)隊(duì)在發(fā)現(xiàn)安全漏洞后會(huì)向軟件開(kāi)發(fā)公司提供細(xì)節(jié)，并且還有一個(gè) 90 天的緩沖期，窗口一過(guò)就會(huì)披露，不管對(duì)方是否已經(jīng)修復(fù)此漏洞。

除了被谷歌批評(píng)解決漏洞太遲緩之外，蘋(píng)果最近還因其解決漏洞的做法而遭到批評(píng)。它明顯忽略了其視頻通話軟件FaceTime中的一個(gè)令人震驚的漏洞，盡管有多個(gè)用戶向它報(bào)告這個(gè)漏洞。直到新聞報(bào)道和社交媒體帖子開(kāi)始大肆報(bào)道這個(gè)安全漏洞，蘋(píng)果才開(kāi)始重視起來(lái)。

目前尚不清楚這個(gè)漏洞是否容易被利用，但谷歌將其標(biāo)記為“嚴(yán)重”，因?yàn)樗锌赡芾@過(guò)macOS安全措施。所以建議 Mac 用戶下載文件時(shí)盡量選擇可信的來(lái)源，減少受到攻擊的可能性。