Apple випустила оновлення безпеки для iOS, macOS, tvOS, watchOS та web-браузера Safari
Apple випустила оновлення безпеки для iOS, macOS, tvOS, watchOS та веб-браузера Safari
Apple випустила оновлення безпеки для iOS, macOS, tvOS, watchOS і веб-браузера Safari, які виправляють ряд вразливостей, включаючи активно використовувану вразливість нульового дня ( CVE-2021-30713 ) в macOS Big Sur.
Проблема пов'язана з дозволами в структурі прозорості, згоди та контролю (TCC) Apple в macOS, яка підтримує базу даних згоди кожного користувача. За словами технологічного гіганта, вразливість можна було використовувати в реальних атаках, але компанія не поділилася подробицями.
Вразливість активно експлуатувалася операторами шкідливого ПЗ XCSSET, що розповсюджується з серпня 2020 року через модифіковані проєкти Xcode IDE в репозиторіях GitHub. Програма створює шкідливі пакети в законних додатках, встановлених в цільовій системі.
"використання цієї вразливості може дозволити зловмиснику отримати повний контроль над диском, записом екрана або іншими дозволами, не вимагаючи згоди користувача"
Хакери могли використовувати пристрої, на яких був встановлений XCSSET, для того, щоб отримати дозволи на крадіжку конфіденційної інформації. Зокрема, зловмисне програмне забезпечення перевіряє дозволи на створення знімків екрана зі списку встановлених програм, таких як Zoom, Discord, WhatsApp, Slack, TeamViewer, Upwork, Skype і Parallels Desktop, для введення шкідливого програмного забезпечення ("avatarde.app") в папку програми.
Дві інші активно експлуатовані проблеми ( CVE-2021-30663 і CVE-2021-30665 ) в движку браузера WebKit, що зачіпають пристрої Safari, Apple TV 4K і Apple TV HD, також були виправлені.