发布日期：2019-08-06
更新日期：2019-08-06

受影响系统：

Keybase Keybase 2.9
Keybase Keybase 2.8
Keybase Keybase 2.7.3
Keybase Keybase 2.7.2
Keybase Keybase 2.6.2
Keybase Keybase 2.10.1
Keybase Keybase 2.10

不受影响系统：

Keybase Keybase 2.13
Keybase Keybase 2.12.6

描述：

---

BUGTRAQ  ID: 106824
CVE(CAN) ID: CVE-2019-7249

Keybase是一套基于PGP技术的、支持端到端加密的社交网络平台。
MacOS版Keybase 2.12.6之前版本中存在本地权限提升漏洞，该漏洞源于将RPC移动到帮助程序容易受到time-to-check-time-to-use错误的影响。不具备root权限的攻击者可利用该漏洞篡改另一个用户安装的程序。

<*来源：Rich Mirch, 0xCCCC, Jan Votava, jinmo123和Nicolas Trippar
  
  链接：https://keybase.io/docs/secadv/kb004
*>

建议：

---

厂商补丁：

Keybase
-------
Keybase已经为此发布了一个安全公告（KB004）以及相应补丁:
KB004：Local Privilege Escalation in MacOS via Keybase Helper (KB004)
链接：https://keybase.io/docs/secadv/kb004

补丁下载：

浏览次数：1043
严重程度：0（网友投票）