新年快乐，这里有一个Mac漏洞 - 彭博社

再次谈论Mac安全问题。

布赖恩·克雷布斯在《华盛顿邮报》的安全修复博客上报道一位匿名安全研究人员以LMH为名，打算给苹果带来安全方面的麻烦。2007年1月将是“苹果漏洞月”，LMH和他的合作伙伴凯文·芬尼斯特尔将每天揭示苹果OS X中的一个安全漏洞。

LMH在这方面有历史，他曾运行过内核漏洞月，旨在揭示Unix的漏洞。由于OS X源自BSD，而BSD本身是Unix的一种变体，因此Mac显然受到了一些内核漏洞月披露的漏洞的影响，因为OS X被提到13次。在一篇帖子中，LMH用“Mac OS X用户和开发者，请小心（并注意）你们对二进制文件的处理。尤其是在尝试分析一些‘无用的恶意软件概念证明’时…”这样的评论来嘲讽Mac用户。

Mac安全状态是一个存在很多误解的领域。我不知道我有多少次不得不纠正那些当面告诉我切换到Intel架构会增加Mac安全风险的人。错了。他们通常对Boot Camp也说同样的话。错了。

尽管如此，我一直试图在对Mac安全形势的评估中保持现实。例如，我不建议Mac用户使用防病毒软件，因为实际上没有什么Mac病毒可言。由于我相信绝对安全是不存在的，我认为对Mac OS的安全研究应该是坦诚、严格和持续的。唯一可能的结果是积极的：要么没有发现漏洞，要么发现的漏洞最终得到修补。

但是通过羞辱公司来进行这种安全研究并不是正确的方法，因为对无辜旁观者造成伤害的潜在风险增加。联系苹果并告诉他们你发现了一些不广为人知的问题，并给他们一个在公开漏洞性质之前修复它的机会，这是一回事。这位LMH在某种程度上试图引起对他/她自己的关注，却选择公开羞辱苹果，从而促使一些行动。

我联系了苹果以获取评论，以下是他们的回应：“苹果非常重视安全，并在潜在漏洞影响用户之前有很好的记录来解决这些问题。我们始终欢迎有关如何改善Mac安全的反馈。”

顺便说一下，如果你是一名安全研究人员，并且知道Mac OS X内部有需要修复的内容，报告它的正确方式是：发送电子邮件至[email protected]。我被告知该电子邮件地址全天候监控。还有更多信息在这里。

然而，鉴于这一努力似乎正在进行中，并且其主要参与者决心履行他们所声明的使命，苹果公司应该做的正确事情是做好准备应对。说到应对，我并不是指打电话给律师：我的意思是告诉安全小组的人员，无论好坏，他们都应该准备好在忙碌的1月中尽快填补漏洞。哦，还有关于安全沙皇的建议？我仍然认为这是个不错的主意。