最近在 macOS 中发现的一个漏洞允许对可追溯到 15 年前的 macOS 版本进行完整系统入侵。驻留在“IOHIDFamily”组件中——过去臭名昭著的用于利用导致系统受损的各种竞争条件——该漏洞本身似乎无法远程利用，尽管它已经存在了至少 15 年。

仅由本地访问 Mac 触发，所有 macOS 版本 10.13.1 之前似乎都会受到影响。安全研究员 Siguza 警告说，如果“睡眠程序”(或具有类似行为的恶意软件)在激活漏洞之前等待用户注销、重新启动或关闭，则该漏洞仍然可以被武器化为可远程利用。

“这就好像用户实际上选择了通过 GUI 注销一样——这意味着具有未保存更改的应用程序仍然可以中止注销，或者至少提示确认(一个例子是带有运行命令的终端)，”根据 Siguza关于该漏洞的详细技术帖子。“但其次，除了注销，关机或重启也可以。这带来了一个有趣的可能性：我们可以编写一个休眠程序，然后等待条件变得有利——我无法访问任何统计数据，但我认为大多数 Mac 最终都会手动关闭或重新启动，而不是永远由于恐慌而下降。”

研究人员在通过 Twitter 宣布漏洞之前选择不联系苹果，理由有两个：苹果没有针对 macOS 的漏洞赏金计划，而且该漏洞无法远程利用，限制了网络分子的潜在“用例”。

“我的主要目标是让人们阅读这篇文章，”他的推文写道。“我不会卖给黑帽子，因为我不想帮助他们的事业。如果他们的漏洞赏金包括 macOS，或者漏洞可远程利用，我会提交给 Apple。”

尽管 Apple 尚未对此问题发表评论，但该公司最近经常成为头条新闻，因为它必须解决几个围绕小问题的安全问题，例如未经身份验证的“root”访问。但是，只要有补丁可用，强烈建议用户立即下载并安装它。