Apple i dag bekreftet til TechCrunch at nettopp utgitt macOS 11.3-programvareoppdatering retter en sikkerhetssårbarhet som angivelig kunne ha gitt en hacker ekstern tilgang til en brukers sensitive data ved å lure en bruker til å åpne et forfalsket dokument.
'Alt brukeren trenger å gjøre er å dobbeltklikke - og ingen macOS-meldinger eller advarsler genereres,' sa sikkerhetsforsker Cedric Owens, som oppdaget sårbarheten i midten av mars, ifølge rapporten. Owens utviklet en proof-of-concept-app som er maskert som et ufarlig dokument som utnytter feilen til å starte Calculator-appen, men han sa at sårbarheten kunne utnyttes til mer ondsinnede formål.
I følge sikkerhetsforsker Patrick Wardle var sårbarheten et resultat av en logisk feil i macOS sin underliggende kode.
'Som enkelt er macOS-apper ikke en enkelt fil, men en bunt med forskjellige filer som appen trenger for å fungere, inkludert en egenskapslistefil som forteller applikasjonen hvor filene den er avhengig av er plassert,' forklarer TechCrunch . 'Men Owens fant ut at å ta ut denne egenskapsfilen og bygge pakken med en bestemt struktur kunne lure macOS til å åpne pakken - og kjøre koden inne - uten å utløse noen advarsler.'
I tillegg til å fikse feilen i macOS 11.3, fortalte Apple TechCrunch den lappet tidligere macOS-versjoner for å forhindre misbruk, og oppdaterte macOS sitt innebygde anti-malware-system XProtect for å blokkere skadelig programvare fra å utnytte sårbarheten. Rapporten sier at feilen ble utnyttet i flere måneder, men det er uklart hvor mange brukere som ble berørt.
Populære Innlegg