Сегодня 23 мая 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft обнаружила критическую уязвимость в macOS, но Apple её уже исправила

Эксперты Microsoft обнаружили в Apple macOS уязвимость, которой присвоили условное название Migraine («Мигрень») — дело в том, что она эксплуатируется через компонент Migration Assistant и обходит систему защиты System Integrity Protection (SIP), которая дебютировала ещё в OS X El Capitan в 2015 году.

 Источник изображения: apple.com

Источник изображения: apple.com

Средство защиты SIP добавляет системе несколько дополнительных уровней безопасности, блокируя доступ приложений и возможность изменения системных файлов на корневом уровне. Функцию можно отключить вручную, но это непросто, а Microsoft нашла способ, посредством которой злоумышленники могли бы эту защиту обходить.

В обычных условиях Migration Assistant работает только при настройке новой учётной записи пользователя, то есть для эксплуатации уязвимости гипотетическому хакеру необходим физический доступ к компьютеру для полного выхода из системы. Для демонстрации эксплойта исследователи из Microsoft изменили Migration Assistant, чтобы инструмент работал без выхода из системы, а приложение Setup Assistant запустили в режиме отладки — так оно игнорирует изменения в Migration Assistant. Далее потребовалась резервная копия системы для её установки на компьютер — исследователи подготовили образ Time Machine объёмом 1 Гбайт с интегрированными вредоносными компонентами и запустили AppleScript, который монтировал эту копию без участия пользователя. В результате появилась возможность запускать на компьютере произвольный код.

Microsoft уведомила Apple об уязвимости, и её закрыли с обновлением macOS 13.4 от 18 мая — пользователям компьютеров Mac рекомендовано оперативно его установить.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Ведомство Илона Маска DOGE принимало решения, пользуясь Meta Llama 2, а не xAI Grok 30 мин.
Сергей Брин передал акции Alphabet на $700 млн неизвестно кому 2 ч.
BioShock скоро выйдет из тени — инсайдер заинтриговал фанатов будущим анонсом от 2K 2 ч.
Галлюцинации у моделей ИИ случаются реже, чем у людей, заявил глава Anthropic 3 ч.
Минюст США расследует сделку Google с разработчиком платформы ИИ-ботов Character.AI 3 ч.
Дополнение Unfinished Business в российском Steam оказалось дороже самой RoboCop: Rogue City — стартовали предзаказы 3 ч.
Bandai Namco подтвердила слухи об экранизации Elden Ring — фильм снимет большой фанат игры и режиссёр «Аннигиляции» Алекс Гарланд 4 ч.
«Победа здравого смысла»: FTC оставила попытки отменить покупку Activision Blizzard компанией Microsoft 4 ч.
«Блокнот» в Windows 11 научился генерировать текст, а Paint — создавать стикеры 4 ч.
Google вслед за Microsoft заявила о готовности поддержать клиентов из Евросоюза и представила новые решения для защиты цифрового суверенитета 7 ч.
ИИ-парковка: Tonomia интегрировала серверы в парковочные навесы с солнечными батареями и аккумуляторами 2 ч.
Таинственное ИИ-устройство позволит OpenAI увеличить доходы от подписок ChatGPT 2 ч.
Крупнейший ИИ ЦОД Stargate будет не в США: OpenAI и G42 построят 5-ГВт кампус в Абу-Даби 2 ч.
Репортаж со стенда MSI на выставке Computex 2025: мощные ноутбуки для геймеров и профессионалов 2 ч.
Китайские чиновники попросили Нидерланды ослабить санкции в сфере полупроводников 3 ч.
Репортаж со стенда DeepCool на выставке Computex 2025: мощные кулеры, необычные корпуса и не только 3 ч.
Электромобиль Xiaomi YU7 начал кормить «продавцов воздуха» ещё до объявления цен и старта предзаказов 3 ч.
Asustor представила стоечные NAS серии Lockerstor R Pro Gen2 на чипах AMD Ryzen 7 Pro 4 ч.
Репортаж со стенда GIGABYTE на выставке Computex 2025: геймерские ноутбуки и мощные компьютеры для ИИ и игр 4 ч.
Репортаж со стенда GIGABYTE на выставке Computex 2025: геймерские мониторы 4 ч.