开发者：苹果在10个月内忽略MacOS Ventura应用程序管理漏洞

据上周末发布漏洞细节的一名开发人员透露，10多个月来，苹果一直未能修复MacOS Ventura的App Management功能中的一个漏洞。

杰夫·约翰逊于2022年10月在他的博客上首次报道了这个漏洞，几天前他通知了苹果。争论的焦点是去年MacOS Ventura的一项功能，该功能旨在确保恶意行为者不会发布对已安装应用程序的恶意更新。

然而，去年秋天，约翰逊说，他“找到了一个不需要完全访问磁盘的应用程序管理旁路。”当时，他拒绝提供这个漏洞的细节，以便让苹果有时间修复它。然而，十个月后，这仍然是一个问题，约翰逊的耐心已经耗尽。

据AppleInsider报道，Johnson在周末发布了一篇更新的博客文章，泄露了该漏洞的信息。他“发现–几乎是偶然的–沙盒应用程序可以修改它不应该修改的文件：公证应用程序捆绑包中的文件，这些文件应该受到应用程序管理安全的保护。”

据约翰逊说，推迟发布是“荒谬的”，他说他“对苹果公司及时解决这一问题失去了所有信心”。

发表这篇最新的博客文章意味着约翰逊正在“牺牲获得苹果安全赏金的机会”，尽管他承认“苹果没有承诺支付任何费用”，而且在问题解决之前，它不会支付任何费用。

他补充道：“所以，我可能永远都在等待，却一无所获。”“到目前为止，苹果一直在以0美元的价格‘收买’我的沉默，只有模糊的未来付款的可能性。”

Johnson创建了一个样例Xcode项目作为演示，您可以下载；在他的帖子中有链接。他还发布了一篇后续帖子，“试图以一种不那么技术性、对非开发人员更友好的方式解释该漏洞。”