研究人員在Synology云同步應用中發(fā)現(xiàn)了漏洞，該漏洞可讓攻擊者完全控制蘋果OS X系統(tǒng)。

[[135557]]

該漏洞被發(fā)現(xiàn)存在于Synology公司針對OS X的Cloud Station客戶端中。Cloud Station應用允許用戶通過云計算在多種設備(例如電腦、智能手機和平板電腦)之間同步文件。然而，根據(jù)卡內基梅隆大學軟件工程研究所計算機應急響應小組(CERT)研究表明，該產(chǎn)品的OS X云同步客戶端功能存在一個默認權限漏洞，允許用戶更改已連接設備中系統(tǒng)文件的所有權，并獲取對這些設備的完全控制權。

CERT在公告中稱：“本地標準OS X用戶可能獲得任意系統(tǒng)文件的所有權，這可能被利用來獲取root權限，并完全感染主機。”

在通用安全漏洞評分系統(tǒng)，CERT將這個Synology漏洞評為6.8分，這意味著“中等威脅”。7.0到10.0分的漏洞則為“嚴重威脅”。

對此，Synology公司發(fā)布了新版本的客戶端來修復該漏洞，該漏洞影響著1.1-2291和3.1-3320版本之間的Cloud Station同步客戶端。CERT建議Cloud Station用戶盡快更新其客戶端到3.2-3475或更高版本。

臺灣存儲供應商Synology公司在2012年推出針對Macintosh系統(tǒng)的Cloud Station。該產(chǎn)品作為公共云存儲服務(例如Dropbox和Google Drive等)的替代品，它允許用戶通過Synology NSA設備創(chuàng)建自己的私有云，并可通過Cloud Station客戶端跨多種設備進行安全的數(shù)據(jù)同步。

除了這個Cloud Station漏洞，Synology還修復了其Photo Station應用中的另一個漏洞。德國軟件安全公司Securify發(fā)現(xiàn)了這個命令注入漏洞，該漏洞允許惡意攻擊者感染Synology的DiskStation NSA系統(tǒng)。Synology為Photo Station發(fā)布了更新，并建議用戶更新該應用到6.3-2945版本以修復該漏洞。