אפל היום אישר ל TechCrunch ש עדכון תוכנה ל-macOS 11.3 שיצא לאחרונה מתקן פגיעות אבטחה שלפי הדיווחים יכלה לאפשר להאקר לגשת מרחוק לנתונים רגישים של משתמש על ידי הטעיה של משתמש לפתוח מסמך מזויף.
'כל מה שהמשתמש יצטרך לעשות הוא ללחוץ פעמיים - ולא נוצרות הנחיות או אזהרות של macOS', אמר חוקר האבטחה סדריק אוונס, שגילה את הפגיעות באמצע מרץ, לפי הדו'ח. אוונס פיתח אפליקציית הוכחת קונספט המתחזה למסמך לא מזיק המנצל את הבאג כדי להפעיל את אפליקציית המחשבון, אך לדבריו ניתן לנצל את הפגיעות למטרות מרושעות יותר.
לפי חוקר האבטחה פטריק ורדל, הפגיעות הייתה תוצאה של באג לוגי בקוד הבסיסי של macOS.
'במונחים פשוטים, אפליקציות macOS אינן קובץ בודד אלא חבילה של קבצים שונים שהאפליקציה צריכה לעבוד, כולל קובץ רשימת מאפיינים שאומר לאפליקציה היכן ממוקמים הקבצים שבהם היא תלויה', מסביר TechCrunch . 'אבל אוונס גילה שהוצאת קובץ המאפיינים הזה ובניית החבילה עם מבנה מסוים יכול להערים על macOS לפתוח את החבילה - ולהריץ את הקוד בפנים - מבלי להפעיל אזהרות כלשהן.'
בנוסף לתיקון הבאג ב-macOS 11.3, אמרה אפל TechCrunch הוא תיקן גרסאות קודמות של macOS כדי למנוע שימוש לרעה, ועדכן את מערכת האנטי-זדונית המובנית של macOS XProtect כדי לחסום תוכנות זדוניות מלנצל את הפגיעות. הדוח אומר שהבאג נוצל במשך חודשים, אך לא ברור כמה משתמשים הושפעו.
רשום פופולרי