旧事重提:ARDAgent.app 安全漏洞

早在2008年中,苹果操作系统就爆出了这么一个安全事件。

说的就是这个ARDAgent.app这个系统程序。这个应用属于系统级别,拥有着最高等级的权限——即root/administrator权限。

也就是说,它在电脑中做任何事情,都是不需要经过允许的,也不需要你来知道的。这个程序是Mac中远程登录的一部分,它没有窗口,也不会在你的dock栏里出现。只会在需要的时候启动,获得root权限,做任何事情。

这个程序本来是用来实验室调试之用,或者在网络管理员大批量远程操作的时候才会被启用,但是凡事总有两面性,不就就爆出了有人可能会利用这个程序远程提权,然后通过它既可在你的电脑上执行任意代码——好吧,苹果当时没有对这个漏洞做任何反应。

直到现在,好像这个问题——这个潜在的漏洞一直也没有人怎么关注,尤其是天朝屁民……

总之,为什么今天路由再次提起这个东西呢,是因为时隔七年,我再次遇到了这个问题。

提示程序SUID文件被修改且不会予以修复
提示程序SUID文件被修改且不会予以修复

这是使用系统自带的磁盘管理工具检查权限的时候遇到的错误提示。

搜索一下,我找到了这个页面,它是苹果官方的TS页面“Mac OS X:可以安全忽略的磁盘工具修复磁盘权限信息”自然的,这条错误信息被包含在内,也就是说,这是正常的、安全的。

  • 警告:SUID 文件“System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent”已被修改,将不被修复。

 

但无论如何,这个东西以前是没有被修改掉的,但是现在却是被修改了,考虑到大部分人应该不会用到这个“被远程操控”的功能,那么我想还是做点什么的好。

根据提示,我们在

这个目录下找到了ARDAgent.app这个应用,那么,要避免这个潜在的安全威胁,最好的办法就是删掉啦~

哦,记得在删除以前,先把它压缩一个zip文件,

使用右键点击,在弹出的选项菜单中选择“压缩”

这时压缩好的ARDAgent.app文件因为权限问题,会放到你的桌面上,然后,你就可以放心大胆的删除掉这个ARDAgent.app,然后把桌面的压缩备份拖回原来目录就好了。(这两步都会要求你输入当前用户的密码来获取权限。)

这样,再次检查磁盘权限,那个错误提示就已经消失不见了,下次如有必要,只需要去对应的目录解开压缩包即可。

“旧事重提:ARDAgent.app 安全漏洞”的2个回复

  1. 试了一下,虽然没有了无法修复的警告提示,但是验证权限的时候会有一堆权限错误,然后修复之后,发现又出现警告提示,我的是10.9.5,我觉得可能是苹果之前发布的安全补丁修改了这个文件

    1. 嗯……我的版本是10.10.2,目前一切正常,没有出现你说的权限再次坏掉的问题。当然,我那个奇奇怪怪的问题出自duet这个双屏软件冲突上,这个老漏洞估计也没什么问题吧……………………………………哈哈

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.