მკვლევარებმა ახლახან აღმოაჩინეს უსაფრთხოების ხარვეზები ორ ბრაუზერში MacOS-ისთვის, რომელიც ჰაკერებს საშუალებას აძლევს მიიღონ წვდომა Mac მოწყობილობებზე. პირველმა ხარვეზმა თავი დააღწია Safari-ში Pwn2Own 2018 წლის პირველ დღეს, რაც ჰაკერს აძლევდა სრულ კონტროლს სენსორულ ბარზე. იმავდროულად, Check Point Research-მა წააწყდა უსიამოვნო შეცდომას Google Chrome-ში, რომელიც აძლევდა წვდომას ადმინისტრაციულ ან სხვა მომხმარებლის ანგარიშზე პაროლის საჭიროების გარეშე.
პირველ რიგში, სამუელ "5აელო" გროსი ფენჰექსი მიზანმიმართული Safari მისი Pwn2Own ჰაკერის მცდელობის დროს MacOS ბირთვის გამოყენებით პრივილეგიების ამაღლება, რაც იმას ნიშნავს, რომ მან იპოვა გზა, რომ მიიღოთ ნებართვა, გამოიყენოთ რესურსები მხოლოდ MacOS-ის ყველაზე დაბალი დონისთვის, რაც ადმინისტრატორებსაც კი არ შეუძლიათ წვდომა. მან ეს გააკეთა Safari-ის ჯავაზე დაფუძნებული Just-in-Time (JIT) შემდგენელის ოპტიმიზაციის შეცდომის გამოყენებით, რომელიც შერწყმულია MacOS პლატფორმის ხარვეზთან.
რეკომენდებული ვიდეოები
”მან გამოიყენა JIT ოპტიმიზაციის ხარვეზის კომბინაცია ბრაუზერში, macOS-ის ლოგიკური შეცდომის, ქვიშის ყუთიდან თავის დასაღწევად, და ბოლოს ბირთვის გადაწერა კოდის შესასრულებლად ბირთვის გაფართოებით Apple-ის წარმატებით ექსპლუატაციისთვის Safari,”
Zero Day Initiative განმარტავს ცოტა უფრო საფუძვლიანად. ”მან დაგვიტოვა მესიჯი სენსორულ პანელზე, როგორც კი დაასრულა.”ამასობაში, შეამოწმეთ Point Research-ის აღმოჩენა Google Chrome-ში არაფერი აქვს საერთო Pwn2Own 2018-ის ღონისძიებასთან. ამის ნაცვლად, ფირმის უსაფრთხოების ერთ-ერთმა ანალიტიკოსმა აღნიშნა „მოულოდნელი ქცევა“ Google-ის Chrome ბრაუზერის MacOS-ისთვის Remote Desktop კომპონენტის შემოწმებისას. მან შენიშნა, რომ მას შეეძლო შესვლა დისტანციურ Mac მოწყობილობაზე, როგორც სტუმარი მომხმარებელი, მაგრამ გადახტა სხვა აქტიურ სესიაზე, თუნდაც ადმინისტრატორის მიერ გამოყენებული, პაროლის შეყვანის გარეშე.
როგორც ანგარიში განმარტავს, როგორც წესი, არის ვინმე შესული MacOS მოწყობილობაზე, მაგრამ დაბლოკილია პაროლით, როდესაც არ გამოიყენება. თავის მხრივ, სტუმრებს რეალურად არ აქვთ ანგარიში: მათ შეუძლიათ უბრალოდ წვდომა Mac მოწყობილობაზე პაროლის გარეშე და, როგორც წესი, გარკვეულწილად შეზღუდულია ადმინისტრატორის მიერ. სტუმრის მიერ შექმნილი ყველა ფაილი ინახება დროებით საქაღალდეში და წაიშლება მოწყობილობის გამოსვლის შემდეგ.
ამასთან, თუ სტუმრები დისტანციურად შედიან Mac-ზე Chrome-ის გაფართოების გამოყენებით, ისინი ხედავენ ეკრანს, რომელიც აჩვენებს მიმდინარე მომხმარებლის პაროლის შეყვანის ველს და სტუმრად შესვლის ვარიანტს. სტუმრის ხატულაზე დაწკაპუნებისა და მთავარ ეკრანზე გადასვლის შემდეგ, სტუმარი დაინახავს ამჟამინდელი მომხმარებლის დესკტოპს და არა სტუმრის დროებით საცდელ ანგარიშს. იმავდროულად, წყარო MacOS მოწყობილობა აჩვენებს სტუმრის ანგარიშს თავის ეკრანზე.
კომპანიამ განაცხადა, რომ Chrome-ის პრობლემა Google-ს 15 თებერვალს შეატყობინა, მაგრამ საძიებო სისტემის გიგანტი თვლის, რომ დისტანციური დესკტოპის შესვლის ეკრანი არ არის „ა უსაფრთხოების საზღვარი“. მიუხედავად ამისა, Check Point Research-მა ჩათვალა, რომ საჭიროა საჯაროდ გამოსულიყო საკითხი, რადგან Mac-ის ბევრი მფლობელი უზრუნველყოფს სტუმრების წვდომას მათზე. მოწყობილობები.
ქრომის დისტანციური დესკტოპის კომპონენტი არის მოსახერხებელი გზა დისტანციური ნათესავის კომპიუტერის პრობლემების მოსაგვარებლად ან სახლიდან ფაილების მოსაპოვებლად. მინიმუმ ორ კომპიუტერს სჭირდება Chrome-ის დაინსტალირება, ერთი ემსახურება როგორც „წყარო“ მანქანა, რომელიც უზრუნველყოფს წვდომის კოდს მეორე მოწყობილობაზე.
რედაქტორების რეკომენდაციები
- macOS Sonoma-ს საჯარო ბეტა მიმოხილვა: მეტი ვიდრე უბრალოდ ეკრანმზოგი
- მიიღებს თუ არა ჩემი Mac macOS 14-ს?
- ამ კრიტიკულმა ექსპლოიატმა შეიძლება ჰაკერებს საშუალება მისცეს გვერდი აუარონ თქვენი Mac-ის დაცვას
- არის macOS უფრო უსაფრთხო ვიდრე Windows? მავნე პროგრამის ამ ანგარიშს აქვს პასუხი
- ერთი, რასაც macOS-ის შემდეგი ვერსია უნდა მიმართოს
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
