...
🧑 💻 Avaliações e notícias do mundo dos programas, carros, aparelhos e computadores. Artigos sobre jogos e hobbies.

Hackers já ignoraram a correção de segurança de emergência do macOS da Apple

2

maçã

A Apple corrigiu recentemente uma vulnerabilidade crítica do macOS que permite que hackers executem códigos arbitrários por meio de anexos de e-mail. Infelizmente, este patch é desleixado e extremamente fácil de contornar. Os proprietários de Mac devem evitar abrir anexos de e-mail com a extensão inetloc até que a Apple emita uma correção adequada.

Os arquivos de atalho da Internet, chamados de arquivos inetloc no macOS, destinam-se a redirecionar os usuários para páginas da web. Você pode criar um arquivo inetloc arrastando uma URL para sua área de trabalho, por exemplo. Mas por causa de um bug no macOS, os hackers podem incorporar código utilizável em arquivos inetloc. Esse código é executado sem aviso quando um arquivo afetado é aberto, fornecendo uma maneira fácil de atacar usuários do macOS por e-mail.

Programar o exploit requer pouca experiência em computação. Veja, os arquivos inetloc contêm URLs, que geralmente começam com http:// ou https://. Mas um descuido da Apple permite que os arquivos inetloc apontem para locais file:// dentro do sistema do seu computador. Uma pequena linha de código dentro de um arquivo inetloc pode permitir que um hacker execute software ou cargas maliciosas em seu sistema.

O pesquisador Park Minchan descobriu a exploração no início desta semana. A Apple rapidamente emitiu um patch depois que a vulnerabilidade foi relatada pelo SSD Secure Disclosure, embora vários meios de comunicação e especialistas em segurança achem que esse patch não é suficiente.

Conforme relatado pela Ars Technica, o patch de emergência emitido pela Apple impede que o macOS execute arquivos inetloc que começam com um prefixo file://. Mas o patch diferencia maiúsculas de minúsculas. Substituir qualquer parte de file:// por uma letra maiúscula ignora completamente a correção.

Este é um trabalho amador da Apple. É o tipo de solução que você esperaria de um estagiário em uma pequena empresa. E, francamente, é um sinal preocupante de que a Apple não leva a segurança tão a sério quanto afirma. Acho que é por isso que não vemos o outdoor "o que acontece no seu iPhone permanece no seu iPhone" há algum tempo.

Fonte: Ars Technica, Apple Insider

Fonte de gravação: www.reviewgeek.com
você pode gostar também Mais do autor

Este site usa cookies para melhorar sua experiência. Presumiremos que você está ok com isso, mas você pode cancelar, se desejar. Aceitar Consulte Mais informação