旧事重提：ARDAgent.app 安全漏洞

早在2008年中，苹果操作系统就爆出了这么一个安全事件。

说的就是这个ARDAgent.app这个系统程序。这个应用属于系统级别，拥有着最高等级的权限——即root/administrator权限。

也就是说，它在电脑中做任何事情，都是不需要经过允许的，也不需要你来知道的。这个程序是Mac中远程登录的一部分，它没有窗口，也不会在你的dock栏里出现。只会在需要的时候启动，获得root权限，做任何事情。

这个程序本来是用来实验室调试之用，或者在网络管理员大批量远程操作的时候才会被启用，但是凡事总有两面性，不就就爆出了有人可能会利用这个程序远程提权，然后通过它既可在你的电脑上执行任意代码——好吧，苹果当时没有对这个漏洞做任何反应。

直到现在，好像这个问题——这个潜在的漏洞一直也没有人怎么关注，尤其是天朝屁民……

总之，为什么今天路由再次提起这个东西呢，是因为时隔七年，我再次遇到了这个问题。

提示程序SUID文件被修改且不会予以修复

这是使用系统自带的磁盘管理工具检查权限的时候遇到的错误提示。

搜索一下，我找到了这个页面，它是苹果官方的TS页面“Mac OS X：可以安全忽略的磁盘工具修复磁盘权限信息”自然的，这条错误信息被包含在内，也就是说，这是正常的、安全的。

• 警告：SUID 文件“System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent”已被修改，将不被修复。

但无论如何，这个东西以前是没有被修改掉的，但是现在却是被修改了，考虑到大部分人应该不会用到这个“被远程操控”的功能，那么我想还是做点什么的好。

根据提示，我们在

这个目录下找到了ARDAgent.app这个应用，那么，要避免这个潜在的安全威胁，最好的办法就是删掉啦~

哦，记得在删除以前，先把它压缩一个zip文件，

使用右键点击，在弹出的选项菜单中选择“压缩”

这时压缩好的ARDAgent.app文件因为权限问题，会放到你的桌面上，然后，你就可以放心大胆的删除掉这个ARDAgent.app，然后把桌面的压缩备份拖回原来目录就好了。（这两步都会要求你输入当前用户的密码来获取权限。）

这样，再次检查磁盘权限，那个错误提示就已经消失不见了，下次如有必要，只需要去对应的目录解开压缩包即可。

本文由 落格博客 原创撰写：落格博客 » 旧事重提：ARDAgent.app 安全漏洞

转载请保留出处和原文链接：https://www.logcg.com/archives/843.html