苹果提供了安全专家的Mac OS X 10.7的开发者预览版的副本,又名狮子,并要求他们的反馈。
一些著名的MAC安全研究人员报告说,他们收到的邀请尝试狮子预览,这苹果周四发布。
“苹果已经邀请我去看看狮子开发者预览版,”说迪诺戴Zovi在鸣叫昨天。“我不能够,直到其释放就可以发表评论,但对于万岁免费使用!”
与总部位于巴尔的摩的咨询公司,独立安全评估人员(ISE)和戴Zovi的共同作者的分析师查理·米勒,今天证实,他也收到了邀请尝试狮子。
预览配备了保密协议(NDA),以防止Zovi,米勒等人从公开评论关于他们发现什么。但是,苹果已经要求反馈和研究人员提供一个电子邮件地址来报告漏洞或其他问题,米勒说。
“他们从来没有做过,”在今天接受采访时指出米勒。“他们是伸手[研究者]的思想是一个很好的积极的一步,但它是否有差别,我会相信,当我看到它。”
米勒已经在过去苹果的安全实践的关键,在2008年说的Mac OS X是一个更容易的目标在时间上比Windows或Linux。
米勒用现金奖励和利用在Mac OS X和Safari,苹果的浏览器漏洞的笔记本电脑走开证明了他点的最后三个黑客的Pwn2Own竞赛。米勒被提名解决Safari和苹果的iPhone 3月9日在今年的Pwn2Own。
其他研究人员已经听到这个消息,如果没有收到邀请的预览,并给予在期待他们的两分钱的安全改进。
“我怀疑我们将看到狮子任何真正的安全创新,” opined亚历山大·索蒂罗维在Twitter上。而在后来鸣叫针对米勒,索蒂罗夫说,“我相信我们会看到改善的狮子,甚至完全ASLR。但是,这并不在2011年算作‘创新’”
Sotirov是一个独立的安全研究人员,谁与米勒和戴Zovi,推出了2010的努力,他们被称为“没有免费的错误”该提议的研究人员应该支付他们的工作,因为漏洞才有价值。
ASLR,或“地址空间布局随机化”,是一种抗利用技术,随机数据至存储器受让人,使其更严厉攻击者确定的关键操作系统功能的位置,进而使它们更加难以手艺可靠攻击。
例如,Windows上ASLR,但苹果当前操作系统斜靠 - 2009年的雪豹 - 依靠部分ASLR,做操作系统的不随机的重要组成部分。微软已经包括在内,因为Vista的2007年下半年亮相在Windows ASLR。
雪豹的2009年8月推出后,米勒说苹果错过了船安全由没有完全实施的ASLR。
苹果没有透露Lion的发货日期,只是说“今年夏天”上市,也没有透露价格。过去,微软的操作系统升级单许可证价格为129美元,五许可证包价格为149美元,不过雪豹的Mac OS X 10.6和雪豹不同,分别为29美元和49美元。
格雷格·凯泽涵盖微软,安全问题,苹果,Web浏览器和通用技术重大新闻的计算机世界。按照格雷格在Twitter上@gkeizer或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
了解更多关于安全在计算机世界的安全主题中心。
这个故事,“苹果邀请错误的研究人员仔细检查狮子OS”最初发表计算机世界 。