Οι ερευνητές αποκάλυψαν πρόσφατα ελαττώματα ασφαλείας σε δύο προγράμματα περιήγησης ιστού για MacOS που επιτρέπει στους χάκερ να αποκτήσουν πρόσβαση σε συσκευές Mac. Το πρώτο ελάττωμα εμφανίστηκε στο Safari κατά την πρώτη ημέρα του Pwn2Own 2018, δίνοντας στον χάκερ τον πλήρη έλεγχο του Touch Bar. Εν τω μεταξύ, η Check Point Research αντιμετώπισε ένα δυσάρεστο σφάλμα στο Google Chrome που παραχωρούσε πρόσβαση στον λογαριασμό διαχειριστή ή σε οποιονδήποτε άλλο λογαριασμό χρήστη χωρίς την ανάγκη κωδικού πρόσβασης.
Πρώτος, ο Samuel “5aelo” Gross από Phoenhex στόχευσε το Safari κατά την απόπειρα χακαρίσματος του Pwn2Own χρησιμοποιώντας έναν πυρήνα MacOS Elevation of Privileges, που σημαίνει ότι βρήκε ένα τρόπος για να λάβετε άδεια χρήσης πόρων που προορίζονται μόνο για το χαμηλότερο επίπεδο MacOS που δεν μπορούν ακόμη και οι διαχειριστές πρόσβαση. Αυτό το έκανε εκμεταλλευόμενος ένα σφάλμα στη βελτιστοποίηση μεταγλωττιστή just-in-time (JIT) του Safari που βασίζεται σε Java σε συνδυασμό με ένα ελάττωμα στην πλατφόρμα MacOS.
Προτεινόμενα βίντεο
«Χρησιμοποιούσε έναν συνδυασμό ενός σφάλματος βελτιστοποίησης JIT στο πρόγραμμα περιήγησης, ενός σφάλματος λογικής macOS για να ξεφύγει από το sandbox, και τέλος μια αντικατάσταση πυρήνα για την εκτέλεση κώδικα με μια επέκταση πυρήνα για την επιτυχή εκμετάλλευση της Apple Σαφάρι," Η Πρωτοβουλία Zero Day εξηγεί λίγο πιο διεξοδικά. "Μας άφησε ένα μήνυμα στη γραμμή αφής μόλις ολοκληρώθηκε."
Εν τω μεταξύ, Ελέγξτε την ανακάλυψη της Point Research στο Google Chrome δεν έχει καμία σχέση με την εκδήλωση Pwn2Own 2018. Αντίθετα, ένας από τους αναλυτές ασφαλείας της εταιρείας σημείωσε «απροσδόκητη συμπεριφορά» κατά την εξέταση του στοιχείου Remote Desktop του προγράμματος περιήγησης Chrome της Google για MacOS. Παρατήρησε ότι μπορούσε να συνδεθεί στην απομακρυσμένη συσκευή Mac ως επισκέπτης, αλλά να μεταβεί σε μια άλλη ενεργή συνεδρία, ακόμη και αυτή που χρησιμοποιούσε ο διαχειριστής, χωρίς να εισάγει κωδικό πρόσβασης.
Όπως εξηγεί η αναφορά, συνήθως υπάρχει κάποιος συνδεδεμένος σε μια συσκευή MacOS αλλά κλειδωμένος με κωδικό πρόσβασης όταν δεν χρησιμοποιείται. Με τη σειρά τους, οι επισκέπτες δεν έχουν στην πραγματικότητα λογαριασμό: Μπορούν απλώς να έχουν πρόσβαση στη συσκευή Mac χωρίς κωδικό πρόσβασης και συνήθως περιορίζονται κατά κάποιο τρόπο από τον διαχειριστή. Όλα τα αρχεία που δημιουργούνται από τον επισκέπτη αποθηκεύονται σε έναν προσωρινό φάκελο και διαγράφονται μόλις αποσυνδεθούν από τη συσκευή.
Τούτου λεχθέντος, εάν οι επισκέπτες έχουν απομακρυσμένη πρόσβαση στο Mac χρησιμοποιώντας την επέκταση του Chrome, βλέπουν μια οθόνη που εμφανίζει το πεδίο εισαγωγής κωδικού πρόσβασης του τρέχοντος χρήστη και μια επιλογή σύνδεσης ως επισκέπτης. Αφού κάνει κλικ στο εικονίδιο επισκέπτη και προχωρήσει στην αρχική οθόνη, ο επισκέπτης θα δει την επιφάνεια εργασίας του τρέχοντος χρήστη και όχι τον προσωρινό λογαριασμό επισκέπτη σε περιβάλλον δοκιμών. Εν τω μεταξύ, η συσκευή προέλευσης MacOS εμφανίζει τον λογαριασμό επισκέπτη στην οθόνη της.
Η εταιρεία είπε ότι ανέφερε το ζήτημα του Chrome στην Google στις 15 Φεβρουαρίου, αλλά ο γίγαντας της μηχανής αναζήτησης πιστεύει ότι η οθόνη σύνδεσης της Απομακρυσμένης επιφάνειας εργασίας δεν είναι «ένα τα όρια ασφαλείας». Ανεξάρτητα από αυτό, η Check Point Research θεώρησε την ανάγκη να δημοσιοποιηθεί το ζήτημα, δεδομένου ότι πολλοί ιδιοκτήτες Mac παρέχουν στους επισκέπτες πρόσβαση στο συσκευές.
του Chrome Στοιχείο απομακρυσμένης επιφάνειας εργασίας είναι ένας εύχρηστος τρόπος για να αντιμετωπίσετε προβλήματα με τον υπολογιστή ενός απομακρυσμένου συγγενή ή να πάρετε αρχεία από το σπίτι. Τουλάχιστον δύο υπολογιστές χρειάζονται εγκατεστημένο το Chrome, με έναν να χρησιμεύει ως η μηχανή «πηγή» που παρέχει έναν κωδικό πρόσβασης στο δεύτερο μηχάνημα.
Συστάσεις των συντακτών
- Δημόσια αξιολόγηση beta του macOS Sonoma: κάτι περισσότερο από προφύλαξη οθόνης
- Θα αποκτήσει ο Mac μου macOS 14;
- Αυτή η κρίσιμη εκμετάλλευση θα μπορούσε να επιτρέψει στους χάκερ να παρακάμψουν τις άμυνες του Mac σας
- Είναι το macOS πιο ασφαλές από τα Windows; Αυτή η αναφορά κακόβουλου λογισμικού έχει την απάντηση
- Το μόνο πράγμα που πρέπει να αντιμετωπίσει η επόμενη έκδοση του macOS
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
