® MinOtaVr'S Blog!

 

Ένα πολύ σοβαρό κενό ασφαλείας ανακαλύφθηκε στο macOS, παραδόξως από τη…Microsoft, παρόλο που η εταιρεία παράγει το δικό της ανταγωνιστικό λειτουργικό σύστημα, τα Windows.

Περνώντας σε λεπτομέρειες, το κενό ασφαλείας, που ονομάστηκε «HM Surf», εκθέτει τους χρήστες της Apple σε μη εξουσιοδοτημένη πρόσβαση σε δεδομένα μέσω του Safari, του προεπιλεγμένου προγράμματος περιήγησης του macOS. Σύμφωνα με τα ευρήματα της Microsoft, η ευπάθεια αυτή επιτρέπει στους επιτιθέμενους να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, συμπεριλαμβανομένου του ιστορικού του Safari, της κάμερας, του μικροφώνου και των δεδομένων τοποθεσίας της συσκευής - και όλα αυτά εν αγνοία του χρήστη!

Η ευπάθεια εκμεταλλεύεται το σύστημα Transparency, Consent, and Control (TCC) του macOS, το οποίο έχει σχεδιαστεί για να προστατεύει τα προσωπικά δεδομένα των χρηστών από μη εξουσιοδοτημένη πρόσβαση από εφαρμογές. Παρακάμπτοντας τις TCC προστασίες στο Safari, οι επιτιθέμενοι μπορούσαν να χειραγωγήσουν το πρόγραμμα περιήγησης για να παραχωρήσει πρόσβαση σε ευαίσθητα χαρακτηριστικά της συσκευής, επιτρέποντάς τους να καταγράφουν ροές από την κάμερα, να καταγράφουν ήχο από το μικρόφωνο ή να παρακολουθούν την τοποθεσία. Η Microsoft ανέφερε αυτά τα ευρήματα πρώτα στην Apple, η οποία κυκλοφόρησε άμεσα ενημέρωση ασφαλείας, με κωδικό έκδοσης CVE-2024-44133, προτρέποντας τους χρήστες να ενημερώσουν άμεσα τα συστήματά τους για να μειώσουν τον κίνδυνο. Μιας και πλέον το κενό ασφαλείας έχει γνωστοποιηθεί δημόσια, προτείνεται να κάνετε άμεσα όλες τις διαθέσιμες ενημερώσεις στον υπολογιστή σας, γιατί πολλοί κακόβουλοι ενδέχεται να στοχεύσουν χρήστες που έχουν καιρό να κάνουν ενημερώσεις.

Η έρευνα της Microsoft πάντως αποκάλυψε ότι ο Safari επωφελείται από ειδικά δικαιώματα, τα οποία η Apple δεν παραχωρεί σε προγράμματα περιήγησης τρίτων, όπως ο Google Chrome, ο Mozilla Firefox ή ο Microsoft Edge. Αυτή η αυξημένη πρόσβαση επέτρεψε στο Safari να παρακάμψει τις τυπικές προτροπές αδειών του TCC, ανοίγοντας την πόρτα για το συγκεκριμένο κενό ασφαλείας. Αντίθετα, τα προγράμματα περιήγησης τρίτων κατασκευαστών πρέπει να ζητούν ρητή άδεια για πρόσβαση σε ευαίσθητες υπηρεσίες, καθιστώντας τα λιγότερο ευάλωτα στη συγκεκριμένη επίθεση.

Για περισσότερα μπορείτε να βρείτε την αναλυτική ανάρτηση της Microsoft στο Security Blog της, πατώντας εδώ.

[via]