在未善意知会苹果下，研究人员径行公布macOS中藏身15年的本地权限扩张漏洞

一名代号为Siguza的安全研究人员 在本周一公布了 macOS中一个长达15年的安全漏洞，且在公布前并无知会苹果，幸好它是个必须实际存取装置才能开采的权限扩张漏洞，而非重大的远端安全漏洞。

根据Siguza的描述，该漏洞存在于macOS核心中的IOHIDSystem，此一元件主要用来处理各种与使用者之间的互动，相关漏洞至少自2002年就存在了，意谓着已有15年的历史，成功开采该漏洞将允许骇客取得系统的最高管理权限。

Siguza也在Twitter上公布了他的发现，因详细描述漏洞与攻击细节，而引来外界的批评。Siguza表示，他的目的只是让人们理解此事，无意卖给骇客，如果苹果的抓漏奖励范围包含了macOS，或是漏洞可被远端开采，他就会事先通知苹果。这只是个本地权限扩张漏洞，无法远端开采，对大多数的人来说都是安全的。

其他资安业者也同意这并非是个重大漏洞，认为此一漏洞的最大问题来自于它存在太久了，或者也可能存在于其它的开源码元件中。

苹果并未回应此事，外界则预期苹果会在本月底的例行性更新中修补该漏洞。