...
🧑 💻 Відгуки та новини зі світу програм, автомобілів, гаджетів і комп'ютерів. Статті про ігри та хобі.

Хакери вже обійшли екстрене виправлення безпеки macOS від Apple

1

яблуко

Apple нещодавно виправила критичну вразливість macOS, яка дозволяє хакерам запускати довільний код через вкладення електронної пошти. На жаль, цей патч є неакуратним і його надзвичайно легко обійти. Власникам Mac слід уникати відкриття вкладень електронної пошти за допомогою розширення inetloc, доки Apple не виправить відповідне рішення.

Файли ярликів Інтернету, які в macOS називаються файлами inetloc, призначені для переспрямування користувачів на веб-сторінки. Ви можете створити файл inetloc, наприклад, перетягнувши URL-адресу на робочий стіл. Але через помилку в macOS хакери можуть вставляти корисний код у файли inetloc. Цей код запускається без попередження, коли відкривається уражений файл, що забезпечує простий спосіб атакувати користувачів macOS через електронну пошту.

Програмування експлойту вимагає невеликого обчислювального досвіду. Дивіться, файли inetloc містять URL-адреси, які зазвичай починаються з http:// або https://. Але помилка Apple дозволяє файлам inetloc вказувати на розташування file:// у вашій комп’ютерній системі. Невеликий рядок коду у файлі inetloc може дозволити хакеру запустити програмне забезпечення або шкідливі корисні навантаження у вашій системі.

Дослідник Парк Мінчан виявив експлойт на початку цього тижня. Apple швидко випустила виправлення після того, як про вразливість повідомила SSD Secure Disclosure, хоча кілька технічних агентств і експертів з безпеки вважають, що цього виправлення недостатньо.

Як повідомляє Ars Technica, аварійне виправлення, видане Apple, не дозволяє macOS запускати файли inetloc, які починаються з префікса file://. Але патч чутливий до регістру. Заміна будь-якої частини file:// великою літерою повністю обходить виправлення.

Це дилетантська робота від Apple. Такого виправлення можна очікувати від стажера в невеликій компанії. І, чесно кажучи, це тривожна ознака того, що Apple не ставиться до безпеки так серйозно, як стверджує. Я думаю, саме тому ми давно не бачили рекламного щита «Те, що відбувається на вашому iPhone, залишається на вашому iPhone».

Джерело: Ars Technica, Apple Insider

Джерело запису: www.reviewgeek.com
Вам також може сподобатися Більше від автора

Цей веб -сайт використовує файли cookie, щоб покращити ваш досвід. Ми припустимо, що з цим все гаразд, але ви можете відмовитися, якщо захочете. Прийняти Читати далі