Filippo Cavallarin doet onderzoekveiligheid in het Italiaanse bedrijf Segment. Onlangs onthulde hij details over een kwetsbaarheid in macOS 10.14.5 Mojave en eerdere versies. Hiermee kunt u willekeurige acties uitvoeren op een pc, bijvoorbeeld het installeren van malware, zonder dat de gebruiker dit weet, dat wil zeggen zonder dat het zijn toestemming nodig heeft om te werken.
Kwetsbaarheid stelt fraudeurs in staat te omzeilenGatekeeper is een mechanisme dat is ingebouwd in macOS. Het beschermt het besturingssysteem tegen dubieuze applicaties door te controleren op de aanwezigheid van een digitaal certificaat dat is uitgegeven door Apple. Cavallarin merkte op dat Gatekeeper externe netwerken en stations als veilige locaties beschouwt. Samen met andere legitieme opties stelt macOS fraudeurs in staat onbetrouwbare applicaties te starten zonder de gebruiker hiervan op de hoogte te stellen.
& tijden
Auto-mount optie in OS enhet ondersteunen van symbolische koppelingen maakt het mogelijk om willekeurige code uit te voeren. Gatekeeper reageert hier niet op. Met MacOS kan de gebruiker automatisch netwerkbronnen verbinden met de opdracht "autofs". Symbolische koppelingen zijn bestanden die koppelingen maken naar mappen of bestanden die op een andere plaats zijn opgeslagen, waaronder een netwerkshare. Koppelingen in archieven worden niet gecontroleerd. Een fraudeur kan hier misbruik van maken door de gebruiker te dwingen erop te klikken om toegang te krijgen tot externe inhoud.
De aanvalstechniek beschreven door de Italiaan is mooiis eenvoudig. Terwijl ze haar concept bestudeerde, voegde de onderzoeker een bash-script toe aan de "Calculator" -bestanden die verschillende uitvoerbare bestanden uitvoeren, waaronder iTunes. Ze hebben ook het pictogram "Calculator" gewijzigd.
Filippo Cavallarin vertelde Apple dat hij het gevonden hadkwetsbaarheden zijn nog steeds 22 februari, maar het bedrijf heeft de situatie nog niet gecorrigeerd. Om Apple, een beveiligingsonderzoeker 90 dagen later, wakker te schudden, besloot hij de kwetsbaarheid bekend te maken.
Bron: engadget.com
Gerelateerde artikelen
Een kleurenstereoscopische HD-camera werd geïnstalleerd op de Mars-2020 rover- Maan voor Mate 20 Familie
- Elektrische spierstimulatie kan een persoon in een superheld veranderen
- Is de elektrische auto de auto van de toekomst?
- Hoogtechnologisch nieuws: Terminator T-1000 is in de buurt
- Samsung lanceert een reeks accessoires met Pokemon- en Star Wars-thema
- Voor het beledigen van de autoriteiten en valse nieuws zal moeten beantwoorden (2 foto's)
- Amazon Kindle Oasis (2019) Review: gemaakt voor leesliefhebbers
