#Инфографика #Избраное #ЛентаНовостей #телекомлентач #метабаза #статистика #Платно #обзоргаджетов #шапито

В новейшем релизе macOS найден вход в приватные папки пользователей

14 фев 2019 11:40 #77178 от ICT
ICT создал тему: В новейшем релизе macOS найден вход в приватные папки пользователей
Новый релиз, новая дыра Разработчик приложенийпод macOS и iOS случайно обнаружил значительную уязвимость в последней версии macOS Mojave 10.14.3, релиз которой состоялся всего несколькодней назад. По данным программиста Джеффа Джонсона (Jeff Johnson), в Mojave доступ к некоторым папкам, таким как ~/Library/Safari, перекрыт по умолчанию, и только несколькосистемных приложений имеют право на обращение к ее содержимому. Однако Джонсонуудалось найти способ обойти эти ограничения и позволить приложениям считыватьсодержимое этих папок, не получая никаких разрешений от пользователя илисистемы. «Оно просто работает(tm), — пишет Джонсон. — Такимобразом, вредоносное приложение может тайно нарушать конфиденциальностьпользователя, считывая его историю браузера».
Вложенный файл:
Уязвимость в свежей версии macOS выдает историю браузера и другие сведения Джонсон также отметил,что его метод обхода защиты конфиденциальности работает при включенном режиме hardened runtime, так что приложениеможет быть даже заверено macOS. Но это при условии, что оно пройдет штатнуюпроверку на наличие вредоносных компонентов. По мнению Джонсона, впрочем, этоне самая главная проблема. С приложениями, защищенными«песочницей», этот метод не сработает. Проблема в одном API Джонсонговорит, что обнаружил уязвимость при работе над собственным приложением(совершенно легитимным), используя некий API, назвать который он отказался. Но именно этот API позволил читатьсодержимое «защищенных» папок. «В обходе нет ничего сложного, требуются толькознания разработчика Mac», — заявляет он. По мнению Джонсона,выявленная им проблема имеет свои ограничения, и он проверял только возможностьполучения доступа к истории браузера Safari. Можно ли с помощью этого бага добраться додругих защищенных папок, он не проверял. Ранее Джонсон выявилдругие аналогичные проблемы в Mojave, позволяющие несанкционированно получать доступ кразличным защищенным данным. Часть этих проблем уже устранена с последними обновлениями. «В данном случае речь идето том, что, исправив ряд прошлых уязвимостей, разработчики Apple “занесли” новые ошибки, —полагает Олег Галушкин, директор поинформационной безопасности компании SEC Consult Services. — С этим вряд ли что-то можно сделать; ошибки вПО были, есть и будут. Но то, что баг был найден спустя считанные дни — этоскорее хорошая новость: чем больше стороннего аудита, тем выше в конечном счетебезопасность пользователя». Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно

    • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Найден элегантный способ обхода штатной защиты macOS. Видео14.32Среда, 29 мая 2019
    В macOS найден «чудесный баг», о котором Apple не узнает из-за своей скупости. Видео14.17Среда, 06 февраля 2019
    В открытом доступе лежали приватные данные десятков миллионов пользователей LinkedIn13.66Вторник, 11 декабря 2018
    Приватные снимки в Instagram могли увидеть все желающие9.85Четверг, 15 января 2015
    «СёрчИнформ» объявила о коммерческом релизе модуля профайлинга9.85Четверг, 19 апреля 2018
    В новейшем протоколе безопасности WPA3 есть архитектурная «дыра» для удобной кражи данных через Wi-Fi9.7Пятница, 12 апреля 2019
    UserGate объявил о релизе седьмой версии операционной системы и старте продаж С1509.44Пятница, 28 апреля 2023
    Территория ЕС: для Google вход платный?8.46Четверг, 22 января 2015
    Иностранные элементы: вход свободный8.46Пятница, 13 февраля 2015
    Вход в канализацию – только через суд8.46Пятница, 10 января 2020

    Мы в соц. сетях