苹果芯片中“嵌入”的一个小安全漏洞为安全研究人员提供了一种取笑过度戏剧性的披露和芯片勘误表覆盖不足的方式。这个被称为“M1RACLES”的缺陷是苹果M1芯片组设计中的一个错误。它可能允许在操作系统下运行的任何两个应用程序在没有正常操作系统功能的情况下在它们之间秘密地交换数据。没有硅改版,无法修复。
然而,发现该漏洞的逆向工程师兼开发者赫克托马丁(Hector Martin)表示,Mac用户不应该担心这个漏洞,因为它不可能真的被用于任何邪恶的事情。马丁甚至写了一个很长的FAQ部分来取笑“过度宣传”的漏洞披露。
这个漏洞不能被用来接管电脑或窃取私人信息,也不能从网站的Javascript中被利用。马丁指出,它可以用来“欺骗”某人,但还有许多其他方式。
马丁写道,如果这个漏洞真的有危险,“如果你的电脑上有恶意软件,它可以以意想不到的方式与你电脑上的其他恶意软件进行通信。”但是,恶意软件很可能通过“无论如何,都有很多预期的方式”来进行传播。
“真的,在实际情况下,没有人会真的发现恶意利用这个缺陷。此外,在每个系统上,已经有100万个侧通道可用于协作跨进程通信(例如,缓存内容),”作者写道。“隐藏通道不会从不合作的应用程序或系统中泄漏数据。事实上,这是值得重复的:除非你的系统受到了威胁,否则秘密渠道是完全没有用的。”
换句话说,在最坏的情况下,用户系统上的恶意软件可以利用这个漏洞相互通信。当Mac受到威胁时,攻击者很可能不再需要使用它。
虽然不是严重缺陷,但这个漏洞仍然是漏洞,因为“它违反了操作系统安全模型”。
但该网页的目标主要是取笑“最近的信息安全点击诱饵漏洞报告变得多么可笑。仅仅因为它有一个华丽的网站或它发布新闻,并不意味着你需要关心。”另外,马丁说他想玩“坏苹果!"这首歌。在漏洞视频上。