Сегодня 25 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft обнаружила критическую уязвимость в macOS, но Apple её уже исправила

Эксперты Microsoft обнаружили в Apple macOS уязвимость, которой присвоили условное название Migraine («Мигрень») — дело в том, что она эксплуатируется через компонент Migration Assistant и обходит систему защиты System Integrity Protection (SIP), которая дебютировала ещё в OS X El Capitan в 2015 году.

 Источник изображения: apple.com

Источник изображения: apple.com

Средство защиты SIP добавляет системе несколько дополнительных уровней безопасности, блокируя доступ приложений и возможность изменения системных файлов на корневом уровне. Функцию можно отключить вручную, но это непросто, а Microsoft нашла способ, посредством которой злоумышленники могли бы эту защиту обходить.

В обычных условиях Migration Assistant работает только при настройке новой учётной записи пользователя, то есть для эксплуатации уязвимости гипотетическому хакеру необходим физический доступ к компьютеру для полного выхода из системы. Для демонстрации эксплойта исследователи из Microsoft изменили Migration Assistant, чтобы инструмент работал без выхода из системы, а приложение Setup Assistant запустили в режиме отладки — так оно игнорирует изменения в Migration Assistant. Далее потребовалась резервная копия системы для её установки на компьютер — исследователи подготовили образ Time Machine объёмом 1 Гбайт с интегрированными вредоносными компонентами и запустили AppleScript, который монтировал эту копию без участия пользователя. В результате появилась возможность запускать на компьютере произвольный код.

Microsoft уведомила Apple об уязвимости, и её закрыли с обновлением macOS 13.4 от 18 мая — пользователям компьютеров Mac рекомендовано оперативно его установить.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Продажи Clair Obscur: Expedition 33 за первые сутки превысили 500 тысяч копий, хотя игра доступна в Game Pass 24 мин.
Doom: The Dark Ages отправит игроков сражаться с безумными врагами в лавкрафтианском измерении — первый геймплей в Космическом царстве 2 ч.
Perplexity разрабатывает браузер с тотальной слежкой за пользователями для дорогой «гиперперсонализированной» рекламы 3 ч.
Microsoft применила генеративный ИИ в рекламе, но этого никто не заметил 3 ч.
Anthropic намерена понять, как работают внутренние механизмы ИИ-моделей 3 ч.
Разработчики Dune: Awakening объявили сроки проведения грандиозной «беты» и показали эффектный сюжетный трейлер 3 ч.
Microsoft пообещала исправить ошибку с чрезмерной нагрузкой на процессор в классическом Outlook 6 ч.
Спустя 25 лет GOG подарил новую жизнь ролевой классике от Capcom — Breath of Fire IV вновь доступна на ПК 6 ч.
Warhorse подтвердила планы на новую игру и показала геймплей дополнения Brushes with Death к Kingdom Come: Deliverance 2 6 ч.
Бесплатные пользователи ChatGPT получили доступ к исследованиям Deep Research, но с ограничениями 7 ч.