早在2008年中,蘋果操作系統就爆出了這麼一個安全事件。

說的就是這個ARDAgent.app這個系統程序。這個應用屬於系統級別,擁有著最高等級的權限——即root/administrator權限。

也就是說,它在電腦中做任何事情,都是不需要經過允許的,也不需要你來知道的。這個程序是Mac中遠程登錄的一部分,它沒有窗口,也不會在你的dock欄裡出現。只會在需要的時候啟動,獲得root權限,做任何事情。

這個程序本來是用來實驗室調試之用,或者在網絡管理員大批量遠程操作的時候才會被啟用,但是凡事總有兩面性,不就就爆出了有人可能會利用這個程序遠程提權,然後通過它既可在你的電腦上執行任意代碼——好吧,蘋果當時沒有對這個漏洞做任何反應。

直到現在,好像這個問題——這個潛在的漏洞一直也沒有人怎麼關注,尤其是天朝屁民……

總之,為什麼今天路由再次提起這個東西呢,是因為時隔七年,我再次遇到了這個問題。

提示程序SUID文件被修改且不會予以修復
提示程序SUID文件被修改且不會予以修復

這是使用系統自帶的磁盤管理工具檢查權限的時候遇到的錯誤提示。

搜索一下,我找到了這個頁面,它是蘋果官方的TS頁面“的Mac OS X:可以安全忽略的磁盤工具修復磁盤權限信息”自然的,這條錯誤信息被包含在內,也就是說,這是正常的、安全的。

  • 警告:SUID 文件“System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent”已被修改,將不被修復。

 

但無論如何,這個東西以前是沒有被修改掉的,但是現在卻是被修改了,考慮到大部分人應該不會用到這個“被遠程操控”的功能,那麼我想還是做點什麼的好。

根據提示,我們在

這個目錄下找到了ARDAgent.app這個應用,那麼,要避免這個潛在的安全威脅,最好的辦法就是刪掉啦~

哦,記得在刪除以前,先把它壓縮一個zip文件,

使用右鍵點擊,在彈出的選項菜單中選擇“壓縮”

這時壓縮好的ARDAgent.app文件因為權限問題,會放到你的桌面上,然後,你就可以放心大膽的刪除掉這個ARDAgent.app,然後把桌面的壓縮備份拖回原來目錄就好了。(這兩步都會要求你輸入當前用戶的密碼來獲取權限。)

這樣,再次檢查磁盤權限,那個錯誤提示就已經消失不見了,下次如有必要,只需要去對應的目錄解開壓縮包即可。

本文由 落格博客 原創撰寫:落格博客 » 舊事重提:ARDAgent.app 安全漏洞

轉載請保留出處和原文鏈接:https://www.logcg.com/archives/843.html

由...出版 落格博客

如非聲明,本人所著文章均為原創手打,轉載請註明本頁面鏈接和我的名字。

加入對話

2 註釋

您的電子郵件地址不會被公開. 必填字段標 *

  1. 試了一下,雖然沒有了無法修復的警告提示,但是驗證權限的時候會有一堆權限錯誤,然後修復之後,發現又出現警告提示,我的是10.9.5,我覺得可能是蘋果之前發布的安全補丁修改了這個文件

    1. 嗯……我的版本是10.10.2,目前一切正常,沒有出現你說的權限再次壞掉的問題。當然,我那個奇奇怪怪的問題出自duet這個雙屏軟件衝突上,這個老漏洞估計也沒什麼問題吧……………………………………哈哈