Apple tänään vahvistettiin TechCrunch että juuri julkaistu macOS 11.3 -ohjelmistopäivitys korjaa tietoturvahaavoittuvuuden, jonka kerrotaan saaneen hakkerin päästä käsiksi käyttäjän arkaluontoisiin tietoihin huijaamalla käyttäjän avaamaan väärennetyn asiakirjan.
'Käyttäjän tarvitsee vain kaksoisnapsauttaa - eikä macOS-kehotteita tai varoituksia luoda', sanoi tietoturvatutkija Cedric Owens, joka löysi haavoittuvuuden maaliskuun puolivälissä raportin mukaan. Owens kehitti proof-of-concept-sovelluksen, joka naamioitui vaarattomaksi asiakirjaksi, joka käyttää virhettä Laskin-sovelluksen käynnistämiseen, mutta hän sanoi, että haavoittuvuutta voidaan hyödyntää ilkeämpiin tarkoituksiin.
Tietoturvatutkijan Patrick Wardlen mukaan haavoittuvuus johtui macOS:n taustalla olevan koodin logiikkavirheestä.
'Yksinkertaisesti sanottuna macOS-sovellukset eivät ole yksittäinen tiedosto, vaan joukko erilaisia tiedostoja, jotka sovellus tarvitsee toimiakseen, mukaan lukien ominaisuusluettelotiedosto, joka kertoo sovellukselle, missä tiedostot, joista se riippuu, sijaitsevat', selittää. TechCrunch . 'Mutta Owens huomasi, että tämän ominaisuustiedoston poistaminen ja nipun rakentaminen tietyllä rakenteella voi huijata macOS:n avaamaan paketin - ja suorittamaan koodin sisällä - ilman varoitusten laukaisemista.'
Apple kertoi macOS 11.3:n vian korjaamisen lisäksi TechCrunch se korjasi aiemmat macOS-versiot väärinkäytön estämiseksi ja päivitti macOS:n sisäänrakennetun haittaohjelmien torjuntajärjestelmän XProtect estääkseen haittaohjelmia hyödyntämästä haavoittuvuutta. Raportin mukaan bugia käytettiin hyväksi kuukausia, mutta on epäselvää, kuinka monta käyttäjää se vaikutti.
Suosittu Viestiä