Исследователи Microsoft Подробно Описывают Уязвимость macOS, Которая Может Позволить Злоумышленникам Получить Пользовательские Данные

Корпорация Майкрософт подробно описала уязвимость, существовавшую в macOS, которая могла позволить злоумышленнику обойти встроенные средства управления технологиями и получить доступ к защищенным данным пользователей. Проблема, получившая название “powerdir”, влияет на систему под названием «Прозрачность, согласие и контроль» (TCC), которая доступна с 2012 года, чтобы помочь пользователям настраивать параметры конфиденциальности своих приложений. Это может позволить злоумышленникам взломать существующее приложение, установленное на компьютере Mac, или установить свое собственное приложение и начать доступ к оборудованию, включая микрофон и камеру, для получения пользовательских данных.

Как подробно описано в сообщении в блоге, уязвимость macOS может быть использована в обход TCC для защиты конфиденциальных данных пользователей. Apple, в частности, исправила недостаток в обновлении macOS Monterey 12.1, которое было выпущено в прошлом месяце. Это также было исправлено в выпуске macOS Big Sur 11.6.2 для более старого оборудования. Однако устройства, использующие более старую версию macOS, по-прежнему уязвимы.

Apple использует TCC, чтобы помочь пользователям настроить параметры конфиденциальности, такие как доступ к камере устройства, микрофону и местоположению, а также к службам, включая календарь и учетную запись iCloud. Технология доступна для доступа через раздел «Безопасность и конфиденциальность» в системных настройках.

  • iOS 15.2.1, iPadOS 15.2.1 Выпущены для исправления уязвимости HomeKit

В дополнение к TCC Apple использует функцию, предназначенную для предотвращения несанкционированного выполнения кода в системах, и применяет политику, ограничивающую доступ к TCC только для приложений с полным доступом к диску. Однако злоумышленник может изменить домашний каталог целевого пользователя и создать поддельную базу данных TCC, чтобы получить историю запросов приложений на получение согласия, сказал исследователь безопасности Microsoft Джонатан Бар Или в сообщении в блоге.

“При использовании в незащищенных системах эта уязвимость может позволить злоумышленнику потенциально организовать атаку на основе защищенных персональных данных пользователя”, — сказал исследователь.

Исследователи Microsoft также разработали доказательство концепции, чтобы продемонстрировать, как можно использовать уязвимость, изменив настройки конфиденциальности в любом конкретном приложении.

  • Apple выпускает обновление Safari 15.1 для macOS Big Sur и macOS Catalina
  • Появилась подробная информация о моделях iPhone, Mac, iPad от Apple 2022 года, а Также о гарнитуре виртуальной реальности

Apple признала усилия, предпринятые командой Microsoft в своем документе по безопасности. Уязвимость отслеживается как CVE-2021-30970.

Источник

Оцените статью
Добавить комментарии

:) :D :( :o 8O :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen:

Исследователи Microsoft Подробно Описывают Уязвимость macOS, Которая Может Позволить Злоумышленникам Получить Пользовательские Данные
hel
Викторина на хэллоуин с ответами