Сегодня 09 декабря 2023
18+
MWC 2018 2018 Computex IFA 2018
Новости Software

Microsoft обнаружила критическую уязвимость в macOS, но Apple её уже исправила

Эксперты Microsoft обнаружили в Apple macOS уязвимость, которой присвоили условное название Migraine («Мигрень») — дело в том, что она эксплуатируется через компонент Migration Assistant и обходит систему защиты System Integrity Protection (SIP), которая дебютировала ещё в OS X El Capitan в 2015 году.

 Источник изображения: apple.com

Источник изображения: apple.com

Средство защиты SIP добавляет системе несколько дополнительных уровней безопасности, блокируя доступ приложений и возможность изменения системных файлов на корневом уровне. Функцию можно отключить вручную, но это непросто, а Microsoft нашла способ, посредством которой злоумышленники могли бы эту защиту обходить.

В обычных условиях Migration Assistant работает только при настройке новой учётной записи пользователя, то есть для эксплуатации уязвимости гипотетическому хакеру необходим физический доступ к компьютеру для полного выхода из системы. Для демонстрации эксплойта исследователи из Microsoft изменили Migration Assistant, чтобы инструмент работал без выхода из системы, а приложение Setup Assistant запустили в режиме отладки — так оно игнорирует изменения в Migration Assistant. Далее потребовалась резервная копия системы для её установки на компьютер — исследователи подготовили образ Time Machine объёмом 1 Гбайт с интегрированными вредоносными компонентами и запустили AppleScript, который монтировал эту копию без участия пользователя. В результате появилась возможность запускать на компьютере произвольный код.

Microsoft уведомила Apple об уязвимости, и её закрыли с обновлением macOS 13.4 от 18 мая — пользователям компьютеров Mac рекомендовано оперативно его установить.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Отставка главы OpenAI Сэма Альтмана была результатом накопившихся противоречий с советом директоров 4 ч.
Обратный отсчёт начался: 14 декабря Meta запустит Threads в странах ЕС 5 ч.
Не за себя радеем: Amazon поддержала Google, обвинив Microsoft в антиконкурентном поведении на облачном рынке Великобритании 11 ч.
Новая статья: The Expanse: A Telltale Series — по шагу во все стороны. Рецензия 11 ч.
«ChatGPT, который знает всё о вашей жизни»: Google хочет рассказать людям историю их жизни с помощью ИИ 13 ч.
Сиквел детективного приключения The Case of the Golden Idol перенесёт игроков в эпоху крови и диско 14 ч.
Российская Caviar выпустила шоколадный iPhone 15 Pro Max по цене дороже настоящего 14 ч.
Разработан ИИ, который может перехватывать пароли с точностью 95 % по звуку нажатия клавиш 14 ч.
«Виза свободы»: Сальвадор будет выдавать гражданство за инвестиции в биткоинах 15 ч.
Google выпустила продвинутый ИИ-блокнот NotebookLM на нейросети Gemini Pro 15 ч.
Представители автотранспортной отрасли США обратились к властям страны с призывом оказать поддержку разработке автопилота 2 ч.
Кения направит $4,5 млрд на «зелёные» проекты: 200-МВт ЦОД, геотермальная энергетика и «умное» сельское хозяйство 8 ч.
atNorth анонсировала строительство в Финляндии 60-МВт ЦОД с системой утилизации избыточного тепла 10 ч.
Oracle первой запустит облачный регион в Колумбии 10 ч.
Xiaomi выпустила уникальный смарт-браслет Genshin Impact Tartaglia Smart Band 8 Pro Limited Edition по мотивам популярной игры 12 ч.
Phison представит на CES 2024 контроллер для доступных SSD с PCIe 5.0 16 ч.
Существующие и будущие процессоры AMD, Intel и Arm оказались уязвимы к атаке SLAM — она позволяет воровать пароли и ключи 16 ч.
Гендиректор Intel расскажет о технологиях ИИ на выставке CES 2024 9 января 16 ч.
«МегаФон» стал «Компанией будущего» в номинации «Благотворительность» 16 ч.
Учёные придумали роботов из ДНК, которые смогут бесконечно копировать самих себя и строить объёмные структуры 17 ч.