Apple avui confirmat a TechCrunch que la actualització de programari de macOS 11.3 acabada de publicar corregeix una vulnerabilitat de seguretat que, segons es diu, podria haver permès a un pirata informàtic accedir de manera remota a les dades confidencials d'un usuari enganyant un usuari perquè obrís un document falsificat.
'L'usuari només hauria de fer doble clic i no es generen avisos ni avisos de macOS', va dir l'investigador de seguretat Cedric Owens, que va descobrir la vulnerabilitat a mitjans de març, segons l'informe. Owens va desenvolupar una aplicació de prova de concepte que es dissimulava com un document inofensiu que aprofita l'error per llançar l'aplicació Calculator, però va dir que la vulnerabilitat es podria explotar amb finalitats més nefastes.
Segons l'investigador de seguretat Patrick Wardle, la vulnerabilitat va ser el resultat d'un error lògic al codi subjacent de macOS.
'En termes senzills, les aplicacions de macOS no són un fitxer únic, sinó un conjunt de fitxers diferents que l'aplicació necessita per funcionar, inclòs un fitxer de llista de propietats que indica a l'aplicació on es troben els fitxers dels quals depèn', explica. TechCrunch . 'Però Owens va descobrir que treure aquest fitxer de propietats i crear el paquet amb una estructura particular podria enganyar a MacOS perquè obrís el paquet i executés el codi a l'interior sense activar cap advertència'.
A més d'arreglar l'error a macOS 11.3, va dir Apple TechCrunch va pegar versions anteriors de macOS per evitar l'abús i va actualitzar el sistema anti-malware integrat de macOS XProtect per impedir que el programari maliciós exploti la vulnerabilitat. L'informe diu que l'error es va explotar durant mesos, però no està clar quants usuaris es van veure afectats.
Entrades Populars