近日,安全专家在M1芯片中发现了一个名为“M1RACLES”的漏洞,该漏洞是芯片组的设计缺陷.该错误允许任何两个应用程序绕过正常系统功能秘密交换数据,如果不修补芯片是无法修复的。但发现该漏洞的逆向工程师和开发人员HectorMartin表示,Mac用户无需担心,因为它基本上无法用于任何恶意软件。Martin甚至写了一篇很长的常见问题解答,嘲笑“过度”的漏洞披露。该漏洞不能用于接管计算机或窃取私人信息,也不能从网站的Javascript中加以利用。Martin指出,它可以用来“rickroll”(恶作剧)某人,但还有很多其他方法可以做到这一点。“如果您的计算机已经感染了恶意软件,那么该恶意软件可以以意想不到的方式与您计算机上的其他恶意软件进行通信,”马丁写道。但是,恶意软件有许多不利用此漏洞的通信方式。Martin继续说道:“真的,在现实世界中,没有人真的会发现这个缺陷的恶意用途。而且,在每个系统上,已经有上百万个侧通道可用于协作跨进程通信(例如缓存东西)。秘密通道不能从不合作的应用程序或系统泄漏数据。事实上,这个问题值得重复。秘密通道是完全无用的,除非你的系统已经受到威胁“。换句话说,在最坏的情况下,用户系统上的恶意软件可能会利用此漏洞相互通信。当Mac像这样被攻陷时,攻击者很可能根本不需要使用它。虽然不是严重缺陷,但该错误仍然是一个漏洞,因为“它违反了操作系统的安全模型”。至于为什么会存在这个bug,Martin表示苹果工程师犯了一个错误。更具体地说,Apple“决定通过删除他们认为在macOS上不需要的强制性功能来打破ARM规范”。据报道,通过删除该功能,Apple使现有操作系统更难缓解它。
