舊事重提：ARDAgent.app 安全漏洞

早在2008年中，蘋果操作系統就爆出了這麼一個安全事件。

說的就是這個ARDAgent.app這個系統程序。這個應用屬於系統級別，擁有著最高等級的權限——即root/administrator權限。

也就是說，它在電腦中做任何事情，都是不需要經過允許的，也不需要你來知道的。這個程序是Mac中遠程登錄的一部分，它沒有窗口，也不會在你的dock欄裡出現。只會在需要的時候啟動，獲得root權限，做任何事情。

這個程序本來是用來實驗室調試之用，或者在網絡管理員大批量遠程操作的時候才會被啟用，但是凡事總有兩面性，不就就爆出了有人可能會利用這個程序遠程提權，然後通過它既可在你的電腦上執行任意代碼——好吧，蘋果當時沒有對這個漏洞做任何反應。

直到現在，好像這個問題——這個潛在的漏洞一直也沒有人怎麼關注，尤其是天朝屁民……

總之，為什麼今天路由再次提起這個東西呢，是因為時隔七年，我再次遇到了這個問題。

提示程序SUID文件被修改且不會予以修復

這是使用系統自帶的磁盤管理工具檢查權限的時候遇到的錯誤提示。

搜索一下，我找到了這個頁面，它是蘋果官方的TS頁面“的Mac OS X：可以安全忽略的磁盤工具修復磁盤權限信息”自然的，這條錯誤信息被包含在內，也就是說，這是正常的、安全的。

• 警告：SUID 文件“System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent”已被修改，將不被修復。

但無論如何，這個東西以前是沒有被修改掉的，但是現在卻是被修改了，考慮到大部分人應該不會用到這個“被遠程操控”的功能，那麼我想還是做點什麼的好。

根據提示，我們在

這個目錄下找到了ARDAgent.app這個應用，那麼，要避免這個潛在的安全威脅，最好的辦法就是刪掉啦~

哦，記得在刪除以前，先把它壓縮一個zip文件，

使用右鍵點擊，在彈出的選項菜單中選擇“壓縮”

這時壓縮好的ARDAgent.app文件因為權限問題，會放到你的桌面上，然後，你就可以放心大膽的刪除掉這個ARDAgent.app，然後把桌面的壓縮備份拖回原來目錄就好了。（這兩步都會要求你輸入當前用戶的密碼來獲取權限。）

這樣，再次檢查磁盤權限，那個錯誤提示就已經消失不見了，下次如有必要，只需要去對應的目錄解開壓縮包即可。

本文由 落格博客 原創撰寫：落格博客 » 舊事重提：ARDAgent.app 安全漏洞

轉載請保留出處和原文鏈接：https://www.logcg.com/archives/843.html