Исследователи Microsoft подробно рассказали об уязвимости macOS, позволяющей злоумышленникам получить пользовательские данные - UDEVICE

Microsoft подробно описала уязвимость, существовавшую в macOS, которая могла позволить злоумышленнику обойти встроенные технологические элементы управления и получить доступ к защищенным данным пользователей. Проблема, получившая название «powerdir», затрагивает систему под названием «Прозрачность, согласие и контроль» (TCC), которая доступна с 2012 года и помогает пользователям настраивать параметры конфиденциальности своих приложений. Это может позволить злоумышленникам захватить существующее приложение, установленное на компьютере Mac, или установить свое собственное приложение и получить доступ к оборудованию, включая микрофон и камеру, для получения пользовательских данных.

Как подробно описано в сообщении в блоге, уязвимость macOS может быть использована путем обхода TCC для нацеливания на конфиденциальные данные пользователей. Apple заметно исправила ошибку в обновлении macOS Monterey 12.1, выпущенном в прошлом месяце. Это также было исправлено в выпуске macOS Big Sur 11.6.2 для более старого оборудования. Однако устройства, использующие более старую версию macOS, по-прежнему уязвимы.

Apple использует TCC, чтобы помочь пользователям настроить параметры конфиденциальности, такие как доступ к камере устройства, микрофону и местоположению, а также к службам, включая календарь и учетную запись iCloud. Технология доступна для доступа через раздел «Безопасность и конфиденциальность » в « Системных настройках» .

  • iOS 15.2.1, iPadOS 15.2.1 выпущены для исправления уязвимости HomeKit

Помимо TCC, Apple использует функцию, направленную на предотвращение несанкционированного выполнения кода системами, и применяет политику, которая ограничивает доступ к TCC только приложениями с полным доступом к диску. Однако злоумышленник может изменить домашний каталог целевого пользователя и внедрить фальшивую базу данных TCC, чтобы получить историю согласия на запросы приложений, сказал в своем блоге исследователь Microsoft по безопасности Джонатан Бар Ор.

«В случае использования этой уязвимости в неисправленных системах злоумышленник может потенциально организовать атаку на основе защищенных личных данных пользователя», — сказал исследователь.

Исследователи Microsoft также разработали доказательство концепции, чтобы продемонстрировать, как можно использовать уязвимость, изменив настройки конфиденциальности в любом конкретном приложении.

  • Apple выпускает обновление Safari 15.1 для macOS Big Sur и macOS Catalina
  • Опубликованы подробности о моделях Apple iPhone, Mac и iPad 2022 года, а также о гарнитуре виртуальной реальности

Apple признала усилия, предпринятые командой Microsoft, в своем документе по безопасности. Уязвимость трассируется как CVE-2021-30970.

Что самое интересное в новых MacBook Pro от Apple, кремнии M1 Pro и M1 Max, AirPods (3-го поколения) и тарифном плане Apple Music Voice? Мы обсуждаем это в подкасте Gadgets 360 Orbital. Orbital доступен на Spotify, Gaana, JioSaavn, Google Podcasts, Apple Podcasts, Amazon Music и везде, где вы получаете свои подкасты.


Источник

от ilia80

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *