Apple току-що отстрани недостатък в сигурността, който позволи на зловредния софтуер да прави екранни снимки на Mac

Apple пусна актуализации на защитата за macOS, които отстраняват недостатък в предпочитанията си за поверителност и “може да са били активно използвани”, според Apple и които биха могли да позволят на злонамерени приложения да записват екрана на Mac

Това е доста голяма актуализация, адресирана до 73 уязвимости, включително една в рамката Transparency Consent and Control (TCC), която позволява на зловредния софтуер да заобиколи системните контроли за поверителност.

“Apple е наясно с доклад, че този проблем може да е бил активно експлоатиран,” го каза за грешката CVE-2021-30713, засягаща TCC.

ВИЖТЕ: Политика за мрежова сигурност (TechRepublic Premium)

TCC предоставя диалоговите подкани за чувствителни действия, свързани със сигурността и поверителността, като приложение, записващо екрана на компютъра, или когато предоставя на приложения достъп до уеб камерата и микрофона.

Охранителна фирма Jamf публикува доклад за грешката и казва, че е установил, че байпасът се използва активно, докато анализира зловредния софтуер XCSSET.

„Екипът за откриване отбеляза, че веднъж инсталиран в системата на жертвата, XCSSET използва този байпас специално с цел да прави скрийншотове на работния плот на потребителя, без да изисква допълнителни разрешения“, се казва в него.

През август Trend Micro установи, че XCSSET е насочен към разработчиците на Mac чрез заразени Xcode проекти.

Злонамереният софтуер намира приложение в системата и копира в него, наследявайки разрешенията му.

“По време на тестването на Jamf беше установено, че тази уязвимост не се ограничава и до разрешенията за запис на екрана. Множество различни разрешения, които вече са предоставени на донорското приложение, могат да бъдат прехвърлени към злонамерено създаденото приложение”, отбеляза Jamf.

„Въпросният експлойт може да позволи на нападателя да получи пълен достъп до диска, запис на екрана или други разрешения, без да изисква изрично съгласие на потребителя – което е поведението по подразбиране.“

Apple пусна и корекции за сигурност в актуализацията на iOS 14.6 за iPhone и iPad, която включваше 30 корекции за сигурност.

ВИЖТЕ: Този зловреден софтуер е пренаписан на езика за програмиране Rust, за да бъде по-трудно да се открие

Националният център за киберсигурност в Обединеното кралство (NCSC) представи един доклад за уязвимостта на грешката CVE-2021-30715, който позволи на злонамерено създадено съобщение да създаде отказ от услуга на устройство с iOS.

24 май на Apple актуализациите включват Safari 14.1.1, който поправя 10 недостатъка в сигурността, които биха могли да бъдат използвани от злонамерени уебсайтове.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com