Apple i dag bekræftet til TechCrunch at netop udgivet macOS 11.3 softwareopdatering retter en sikkerhedssårbarhed, der angiveligt kunne have givet en hacker mulighed for at få fjernadgang til en brugers følsomme data ved at narre en bruger til at åbne et forfalsket dokument.
'Alt, brugeren skal gøre, er at dobbeltklikke - og der genereres ingen macOS-prompter eller advarsler,' sagde sikkerhedsforsker Cedric Owens, som opdagede sårbarheden i midten af marts, ifølge rapporten. Owens udviklede en proof-of-concept-app, der maskerede sig som et harmløst dokument, der udnytter fejlen til at starte Calculator-appen, men han sagde, at sårbarheden kunne udnyttes til mere ondsindede formål.
Ifølge sikkerhedsforsker Patrick Wardle var sårbarheden resultatet af en logisk fejl i macOS's underliggende kode.
'Som sagt er macOS-apps ikke en enkelt fil, men et bundt af forskellige filer, som appen skal bruge for at fungere, inklusive en ejendomslistefil, der fortæller applikationen, hvor filerne, den afhænger af, er placeret,' forklarer TechCrunch . 'Men Owens fandt ud af, at det at tage denne egenskabsfil ud og bygge bundtet med en bestemt struktur kunne narre macOS til at åbne bundtet - og køre koden indeni - uden at udløse nogen advarsler.'
Ud over at rette fejlen i macOS 11.3, fortalte Apple TechCrunch den patchede tidligere macOS-versioner for at forhindre misbrug og opdaterede macOS's indbyggede anti-malware-system XProtect for at blokere malware i at udnytte sårbarheden. Rapporten siger, at fejlen blev udnyttet i flere måneder, men det er uklart, hvor mange brugere der blev påvirket.
Populære Indlæg