Apple danes potrjeno, da TechCrunch da pravkar izdana posodobitev programske opreme macOS 11.3 popravi varnostno ranljivost, ki naj bi hekerju omogočila oddaljeni dostop do občutljivih podatkov uporabnika, tako da bi uporabnika zavedel, da odpre lažni dokument.
'Vse, kar bi uporabnik moral narediti, je dvakrat klikniti - in ne generirajo se nobeni pozivi ali opozorila macOS,' je dejal varnostni raziskovalec Cedric Owens, ki je ranljivost odkril sredi marca, glede na poročilo. Owens je razvil aplikacijo za dokaz koncepta, ki se prikriva kot neškodljiv dokument, ki izkorišča napako za zagon aplikacije Kalkulator, vendar je dejal, da bi lahko ranljivost izkoristili za bolj zlobne namene.
Po mnenju varnostnega raziskovalca Patricka Wardla je bila ranljivost posledica logične napake v osnovni kodi macOS.
'Preprosto povedano, aplikacije za macOS niso ena sama datoteka, ampak sveženj različnih datotek, ki jih aplikacija potrebuje za delovanje, vključno z datoteko s seznamom lastnosti, ki aplikaciji pove, kje se nahajajo datoteke, od katerih je odvisna,' pojasnjuje TechCrunch . 'Toda Owens je ugotovil, da bi lahko odstranitev te datoteke lastnosti in sestavljanje svežnja z določeno strukturo zavedel macOS, da odpre sveženj — in zažene kodo v njem — ne da bi sprožila kakršna koli opozorila.'
Poleg odpravljanja napake v macOS 11.3, je Apple povedal TechCrunch popravil je prejšnje različice macOS-a, da bi preprečil zlorabo, in posodobil macOS-ov vgrajeni sistem proti zlonamerni programski opremi XProtect, da prepreči zlonamerno programsko opremo, da bi izkoriščala ranljivost. Poročilo pravi, da so napako izkoriščali več mesecev, ni pa jasno, koliko uporabnikov je bilo prizadetih.
Priljubljene Objave