Todos os aplicativos para macOSKit-gebaseerde apps kwetsbaar door macOS-lek

Een ‘vulnerabilidade de injeção de processo’ é angetroffen no macOS. Você pode usar todos os aplicativos do macOS AppKit para criar aplicativos incorretos ou criar outras aplicações no sistema zelf. Apple heeft de kwetsbaarheid inmiddels opgelost com uma atualização no macOS Monterey. O kwetsbaarheid está disponível na porta Thijs Alkemade, ethisch hacker de Computest Security, e nesta semana é apresentado nas conferências internacionais de hackers Black Hat e DEF CON.

A vulnerabilidade de injeção de processo de porta no macOS pode ser mal interpretada por meio de um aplicativo para obter a verificação de todos os outros aplicativos e de outros aplicativos na mesma situação. Hiermee zouden bijvoorbeeld ongemerkt de camera of microfoon aangezet kunnen worden of zou zelfs toegang verkregen kunnen worden tot hele system. Daarmee zouden aanvallers bijvoorbeeld ook redelijk eenvoudig malware kunnen instalador. Wat de kwetsbaarheid bijzonder maakt interessant, é que deze universal toepasbaar é op alle AppKit gebaseerde aplicativos.

Kwetsbaarheid op onverwachte plek

Alkemade geeft verder aan dat het een kwetsbaarheid betreft op een onverwachte plek. Het bevond zich in een functioniteit die al tien jaar geleden werd ontwikkeld: de ‘saved state’-functie. Hiermee biedt het system als je je computer uitschakelt aan, de vensters die je open hebt staan ​​​​opnieuw te openen zodra je het system weer opstart. Bij de ontwikkeling van estado salvo foi er nog geen kwetsbaarheid, omdat er destijds nog niet zo’n veelheid aan aplicativos met allemaal verschillende rechten was. Dit verschil in permissies zorgt er ook voor dat de kwetsbaarheid mogelijk veel impact kan hebben.

“Ele é begrijpelijk dat functies die lang geleden zijn ontwikkeld niet altijd zijn berekend op de technologie vandaag. Eigenlijk zou je ook regelmatig het system in zijn geheel moeten onderzoeken”, zegt Alkemade. “Dit gebeurt echter doorgaans niet, omdat de focus ligt op het ontwikkelen van nieuwe functies. Maar naarmate een system groter en veelomvatender wordt, wordt het vaak ook kwetsbaarder. Het is belangrijk dat organisaties zich hier bewust van zijn en daarvoor passende security-maatregelen treffen.”

READ  Johans Hardwarehub: SPORTSMATE 5 ajuda você em escaladas difíceis

Atualizar beschikbaar

Alkemade meldde het beveiligingslek bij Apple e gaf bovendien informações sobre hoe het beveiligingslek misbruikt zou kunnen worden. Hiervoor heeft hij een zogenaamde bug bounty ontvangen. Apple heeft de kwetsbaarheid inmiddels opgelost door een update uit the bengen para macOS Monterey. Ver zijn er wijzigingen aangebracht na documentação de Appkit zodat ontwikkelaars nieuwe aplicações e funções kunnen bouwen zonder dat er sprake é de genoemde kwetsbaarheid.

Ele é niet het eerste lek dat Alkemade ontdekte. Samen conheceu o colega Daan Keuper, que se concentrou em seu próprio laboratório de Segurança de Computação, respondendo a perguntas. Hiermee hebben ze inmiddels verschillende prijswinnende hacks op hun naam weten te zetten. Você ganhou Alkemade em Keuper al twee keer de competição internacional de hacks Pwn2Own door Zoom te hacken em kwetsbaarheden no sistema industrial a um tonen. Ook legden zij kwetsbaarheden blot bij verschillende auto’s van de Volkswagen Groep.

We will be happy to hear your thoughts

Leave a reply

DETRASDELANOTICIA.COM.DO PARTICIPE DO PROGRAMA ASSOCIADO DA AMAZON SERVICES LLC, UM PROGRAMA DE PUBLICIDADE DE AFILIADOS PROJETADO PARA FORNECER AOS SITES UM MEIO DE GANHAR CUSTOS DE PUBLICIDADE DENTRO E EM CONEXÃO COM AMAZON.IT. AMAZON, O LOGOTIPO AMAZON, AMAZONSUPPLY E O LOGOTIPO AMAZONSUPPLY SÃO MARCAS REGISTRADAS DA AMAZON.IT, INC. OU SUAS AFILIADAS. COMO ASSOCIADO DA AMAZON, GANHAMOS COMISSÕES DE AFILIADOS EM COMPRAS ELEGÍVEIS. OBRIGADO AMAZON POR NOS AJUDAR A PAGAR AS TAXAS DO NOSSO SITE! TODAS AS IMAGENS DE PRODUTOS SÃO DE PROPRIEDADE DA AMAZON.IT E DE SEUS VENDEDORES.
guiadigital.info