Сегодня 27 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft обнаружила критическую уязвимость в macOS, но Apple её уже исправила

Эксперты Microsoft обнаружили в Apple macOS уязвимость, которой присвоили условное название Migraine («Мигрень») — дело в том, что она эксплуатируется через компонент Migration Assistant и обходит систему защиты System Integrity Protection (SIP), которая дебютировала ещё в OS X El Capitan в 2015 году.

 Источник изображения: apple.com

Источник изображения: apple.com

Средство защиты SIP добавляет системе несколько дополнительных уровней безопасности, блокируя доступ приложений и возможность изменения системных файлов на корневом уровне. Функцию можно отключить вручную, но это непросто, а Microsoft нашла способ, посредством которой злоумышленники могли бы эту защиту обходить.

В обычных условиях Migration Assistant работает только при настройке новой учётной записи пользователя, то есть для эксплуатации уязвимости гипотетическому хакеру необходим физический доступ к компьютеру для полного выхода из системы. Для демонстрации эксплойта исследователи из Microsoft изменили Migration Assistant, чтобы инструмент работал без выхода из системы, а приложение Setup Assistant запустили в режиме отладки — так оно игнорирует изменения в Migration Assistant. Далее потребовалась резервная копия системы для её установки на компьютер — исследователи подготовили образ Time Machine объёмом 1 Гбайт с интегрированными вредоносными компонентами и запустили AppleScript, который монтировал эту копию без участия пользователя. В результате появилась возможность запускать на компьютере произвольный код.

Microsoft уведомила Apple об уязвимости, и её закрыли с обновлением macOS 13.4 от 18 мая — пользователям компьютеров Mac рекомендовано оперативно его установить.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Новая статья: The Elder Scrolls IV: Oblivion Remastered — врата ностальгии распахнуты. Рецензия 10 мин.
Новая статья: Gamesblender № 723: ремастер TES IV: Oblivion, дата выхода Ghost of Yotei и кибердемоны в новой Doom 21 мин.
Социальная сеть Threads получила новое доменное имя и обновила веб-версию приложения 2 ч.
У подразделения «Яндекса», включающего Yandex Cloud, выручка выросла более чем в 1,5 раза 2 ч.
Уязвимость EntrySign в Ryzen 9000 наконец-то будет закрыта — свежие версии BIOS получили заплатку 7 ч.
«Леста Игры» обжаловала решение суда, остановившее весь её бизнес 8 ч.
Электронную подпись через «Госключ» получили более 20 млн россиян 11 ч.
Все популярные модели генеративного ИИ оказалось легко взломать по схеме Policy Puppetry 12 ч.
Учёные уличили ИИ в неспособности строить математические доказательства в олимпиадных задачах USAMO 2025 года 12 ч.
«Клянусь Азурой!»: за три дня в The Elder Scrolls IV: Oblivion Remastered сыграло более 4 миллионов человек 13 ч.