Сегодня 25 мая 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В приложении Apple Shortcuts нашли уязвимость, позволяющую похищать данные без участия пользователя

В популярном приложении Apple «Быстрые команды» (Apple Shortcuts) обнаружена уязвимость CVE-2024-23204, которая может открыть злоумышленникам доступ к конфиденциальным данным на устройствах под управлением macOS и iOS без запроса разрешения у пользователя.

Приложение «Быстрые команды» для macOS и iOS предназначается для автоматизации задач: оно позволяет создавать макросы с последовательностями различных действий, включая экспорт данных в iCloud и на другие платформы. Компания Bitdefender опубликовала информацию об уязвимости CVE-2024-23204, позволяющей создавать вредоносные файлы сценариев «Быстрых команд» в обход системы безопасности Apple Transparency, Consent and Control (TCC), предназначенной, чтобы следить, что приложения в явном виде запрашивают у пользователей разрешения для доступа к определённым данным или функциям.

Добавив такой файл в библиотеку жертвы, злоумышленник получает возможность незаметно похищать конфиденциальные данные и системную информацию без запроса разрешения. Уязвимость присутствует в платформах версий до macOS Sonoma 14.3, iOS 17.3 и iPadOS 17.3, и ей присвоен рейтинг 7,5 из 10 («высокий»), поскольку её можно эксплуатировать удалённо без каких-либо привилегий. В актуальных версиях ОС Apple уже исправила ошибку, и эксперты по кибербезопасности рекомендуют обновить приложение «Быстрые команды» до последней версии.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Tesla открыла 20 вакансий в сфере ИИ с зарплатой до $360 000 в год 44 мин.
Новая статья: Crow Country — для тех, кто помнит. Рецензия 3 ч.
Скорый анонс новой Doom подтвердил надёжный источник — первые подробности Doom: The Dark Ages 8 ч.
«Лучший экшен 2024 года», кроссплей и никаких микротранзакций: новые подробности Warhammer 40,000: Space Marine 2 8 ч.
Исследование: основной целью хакеров при атаках на промышленность является шпионаж 8 ч.
Обойдёмся без Oracle: «Ростелеком» создаст собственную биллинговую систему с СУБД от «СберТеха» 9 ч.
От бега с ножницами до выдуманных фильмов: ИИ Google чудит с ответами прямо в поиске 9 ч.
«Есть куда стремиться»: глава FromSoftware прояснил будущее Armored Core и ответил на вопрос про Bloodborne 2 10 ч.
Angara Security создала ИБ-платформу предиктивной аналитики на основе баз данных угроз ФСТЭК и MITRE 11 ч.
За первые пять месяцев 2024 года игровые компании уволили более 10 тысяч человек — почти столько же, сколько за весь 2023-й 11 ч.
Gunnir выпустила уникальные видеокарты Photon Arc A750 и Arc A770 в стиле Elden Ring: Shadow of the Erdtree 9 ч.
Продажи смартфонов в Европе закончили трёхлетнее падение, но до полного восстановления рынка ещё далеко 9 ч.
SpaceX Starship в следующий раз полетит в космос 5 июня, но это не точно 11 ч.
Банк России зафиксировал всплеск активности россиян на криптовалютном рынке 12 ч.
Китайские батареи для электромобилей будут вдвое дешевле американских, даже с новыми пошлинами США 12 ч.
SpaceX не нуждается в дополнительном капитале — Маск опроверг слухи о грядущей продаже акций компании 13 ч.
«Царь во дворца»: G.Skill представила флагманскую оперативную память Trident Z5 Royal DDR5 13 ч.
Деньги на ветер: Spotify отключит автомобильные проигрыватели Car Thing и не вернёт средства 13 ч.
Micron заплатит $445 млн за воровство технологий компьютерной памяти у Netlist 13 ч.
Учёные придумали, как ускорить квантовые расчёты с помощью фрактальности 13 ч.