Apple azi confirmat la TechCrunch că actualizare software macOS 11.3 recent lansată corectează o vulnerabilitate de securitate care ar fi putut permite unui hacker să acceseze de la distanță datele sensibile ale unui utilizator, păcălindu-l să deschidă un document falsificat.
„Tot ce ar trebui să facă utilizatorul este să facă dublu clic – și nu sunt generate solicitări sau avertismente macOS”, a spus cercetătorul de securitate Cedric Owens, care a descoperit vulnerabilitatea la mijlocul lunii martie, potrivit raportului. Owens a dezvoltat o aplicație de dovadă a conceptului mascandu-se ca un document inofensiv care exploatează eroarea pentru a lansa aplicația Calculator, dar a spus că vulnerabilitatea ar putea fi exploatată în scopuri mai nefaste.
Potrivit cercetătorului de securitate Patrick Wardle, vulnerabilitatea a fost rezultatul unei erori logice în codul de bază al macOS.
„În termeni simpli, aplicațiile macOS nu sunt un singur fișier, ci un pachet de fișiere diferite de care aplicația trebuie să funcționeze, inclusiv un fișier cu listă de proprietăți care îi spune aplicației unde se află fișierele de care depinde”, explică. TechCrunch . „Dar Owens a descoperit că eliminarea acestui fișier de proprietate și construirea pachetului cu o anumită structură ar putea păcăli macOS să deschidă pachetul – și să ruleze codul în interior – fără a declanșa niciun avertisment”.
Pe lângă remedierea erorii în macOS 11.3, a spus Apple TechCrunch a corectat versiunile anterioare de macOS pentru a preveni abuzul și a actualizat sistemul anti-malware încorporat în macOS XProtect pentru a bloca malware-ul să exploateze vulnerabilitatea. Raportul spune că eroarea a fost exploatată luni de zile, dar nu este clar câți utilizatori au fost afectați.
Posturi Populare