要怎樣你才肯入侵 Mac

還記得上次提到的 CanSecWest 研討會 Mac Pro 伴手禮嗎，大會準備了兩台全新安裝的 Mac Pro，並安裝了最新的修正程式 (含日前發佈的 25 個漏洞修正)，成功透過網路入侵者，即可帶它回家。由於開始一段時間後，仍未有人能自遠端入侵，因此大會修正允許參賽者寄送一個 URL，並在本機透過 Safari 瀏覽後入侵即可，約一小時後，Shane Macaulay 成功的利用一個 Safari 的漏洞入侵，並值入遠端存取後門；而在 3Com TippingPoint 部門的 10,000 美元獎勵加碼下(同時帶有買下擁有權的意味)，隨後 Dino Dai Zovi 也成功的利用了一個 0day 手法入侵。

這個事件在網路上引起了一些迴響，對於 Mac 是否比較安全的爭論也不會休止，而獎金雖然造就不少的誘因，但有趣的是，要花 10,000 美元來讓人入侵 Mac，而網路上隨時有人樂意無酬入侵 Windows XD

[2007/04/24 更新]
Dino Dai Zovi 的手法已證實為 Quicktime Player 漏洞，當使用者瀏覽惡意網頁時即可觸發，且此漏洞同時對 OS X 及 Windows 有效，避免方式:

‧關閉瀏覽器的 Java 支援
‧移除 Quicktime
‧透過 NoScript 之類的 Firefox Add-on 關閉 Java (非 JavaScript)

[2007/05/01 更新]
Apple 發佈 QuickTime 更新，修正此一漏洞

Shane Macaulay