Digita Security研究長暨Objective-See創辦人Patrick Wardle本周揭露了一個藏匿在蘋果最新操作系統macOS 10.14(Mojave)的零時差漏洞，將允許惡意程序繞過macOS的安全機制，得以讓黑客存取Mac設備上的資料、攝影機或麥克風。

蘋果在去年發表的macOS Mojave內建一個安全機制，舉凡企圖存取攝影機、麥克風、照片、瀏覽器歷史記錄或電子郵件的程序，都必須利用對話框來取得使用者的明確同意，而為了避免程序偽造對話框上的點擊，蘋果也禁用了合成點擊(synthetic clicks)功能。

但為了讓舊有的程序也能相容于Mojave，該操作系統設有一個白名單，且允許名單內的程序執行合成點擊。不過，Wardle卻發現白名單中的安全機制只檢查程序可執行檔的加密簽章，并未審核程序執行時所載入的插件或腳本程序。

于是，Wardle選擇了被蘋果列為白名單中的VLC影音播放程序，利用一個支持VLC的惡意插件程序來執行偽造的合成點擊，等于是允許他直接取得可存取攝影機、麥克風或瀏覽器歷史記錄的權限。

Wardle為知名的macOS安全專家，他在上周將漏洞消息提交給蘋果，但本周就公布了漏洞細節。他說，這是因為過去他已向蘋果提出很多次的合成點擊漏洞，但類似的漏洞卻不斷地出現，顯示蘋果的安全稽核非常地松散。

此外，他也抱怨蘋果在收到漏洞通知之后，雖然會修補，卻總是修補不完全，此事一來讓安全研究人員感到很挫敗，二來這也讓得知漏洞細節的黑客有機可趁，陷蘋果用戶于安全風險中。

蘋果顯然還來不及修補這個由Wardle所提出的零時差漏洞，但它屬于第二階段的攻擊漏洞，因為企圖開采此一漏洞的黑客必須先取得Mac電腦的本地端權限才行。