Forscher haben es kürzlich aufgedeckt Sicherheitslücken in zwei Webbrowsern für MacOS, das Hackern den Zugriff auf Mac-Geräte ermöglicht. Der erste Fehler tauchte am ersten Tag von Pwn2Own 2018 in Safari auf und gab dem Hacker die volle Kontrolle über die Touch Bar. In der Zwischenzeit ist Check Point Research auf einen bösen Fehler in Google Chrome gestoßen, der den Zugriff auf das Administrator- oder ein anderes Benutzerkonto ohne die Notwendigkeit eines Passworts ermöglichte.
An erster Stelle steht Samuel „5aelo“ Gross aus Phoenhex Während seines Pwn2Own-Hack-Versuchs mit einer Elevation of Privileges für den MacOS-Kernel zielte er auf Safari, was bedeutete, dass er eine fand Möglichkeit, die Berechtigung zur Nutzung von Ressourcen zu erhalten, die nur für die unterste Ebene von MacOS reserviert sind und die selbst Administratoren nicht erhalten Zugang. Er tat dies, indem er einen Fehler in der Java-basierten Just-in-Time-Compiler-Optimierung (JIT) von Safari in Kombination mit einem Fehler in der MacOS-Plattform ausnutzte.
Empfohlene Videos
„Er nutzte eine Kombination aus einem JIT-Optimierungsfehler im Browser, einem macOS-Logikfehler, um der Sandbox zu entkommen, und schließlich eine Kernel-Überschreibung, um Code mit einer Kernel-Erweiterung auszuführen und Apple erfolgreich auszunutzen Safari," Zero Day Initiative erklärt etwas gründlicher. „Sobald er fertig war, hinterließ er eine Nachricht für uns auf der Touchbar.“
In der Zwischenzeit, Die Entdeckung von Check Point Research in Google Chrome hat nichts mit dem Pwn2Own 2018-Event zu tun. Stattdessen bemerkte einer der Sicherheitsanalysten des Unternehmens „unerwartetes Verhalten“, als er die Remotedesktopkomponente von Googles Chrome-Browser für MacOS untersuchte. Ihm fiel auf, dass er sich als Gastbenutzer am Remote-Mac-Gerät anmelden, aber in eine andere aktive Sitzung springen konnte, sogar in eine, die vom Administrator verwendet wurde, ohne ein Passwort einzugeben.
Wie der Bericht erklärt, ist normalerweise jemand an einem MacOS-Gerät angemeldet, das jedoch mit einem Passwort gesperrt ist, wenn es nicht verwendet wird. Gäste wiederum haben eigentlich kein Konto: Sie können einfach ohne Passwort auf das Mac-Gerät zugreifen und werden in der Regel durch den Administrator in irgendeiner Weise eingeschränkt. Alle vom Gast erstellten Dateien werden in einem temporären Ordner gespeichert und gelöscht, sobald er sich vom Gerät abmeldet.
Wenn Gäste jedoch über die Chrome-Erweiterung aus der Ferne auf den Mac zugreifen, sehen sie einen Bildschirm mit dem Passworteingabefeld des aktuellen Benutzers und einer Option zur Anmeldung als Gast. Nachdem Sie auf das Gastsymbol geklickt und zum Startbildschirm weitergeleitet haben, sieht der Gast den Desktop des aktuellen Benutzers und nicht das temporäre Sandbox-Gastkonto. Währenddessen zeigt das Quell-MacOS-Gerät das Gastkonto auf seinem Bildschirm an.
Das Unternehmen sagte, es habe das Chrome-Problem am 15. Februar an Google gemeldet, aber der Suchmaschinenriese glaubt, dass der Remote-Desktop-Anmeldebildschirm „kein Problem“ sei Sicherheitsgrenze.“ Ungeachtet dessen hatte Check Point Research das Bedürfnis, das Problem an die Öffentlichkeit zu bringen, da viele Mac-Besitzer Gastzugang zu ihrem Gerät gewähren Geräte.
Chrome’s Remotedesktopkomponente ist eine praktische Möglichkeit, Fehler am Computer eines entfernten Verwandten zu beheben oder Dateien von zu Hause aus abzurufen. Auf mindestens zwei Computern muss Chrome installiert sein, wobei einer als „Quell“-Computer dient und einen Zugangscode für den zweiten Computer bereitstellt.
Empfehlungen der Redaktion
- Öffentliche Beta-Rezension von macOS Sonoma: mehr als nur Bildschirmschoner
- Bekommt mein Mac macOS 14?
- Dieser kritische Exploit könnte es Hackern ermöglichen, die Abwehrmaßnahmen Ihres Mac zu umgehen
- Ist macOS sicherer als Windows? Dieser Malware-Bericht hat die Antwort
- Das Einzige, was die nächste Version von macOS angehen muss
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
