Исследователь безопасности Сэмюэл Гросс успешно использовал уязвимость Safari для управления сенсорной панелью на MacBook Pro. Важно, что он заявил найденный эксплойт еще в первый день этого года.
Он использовал комбинацию ошибок оптимизации JIT в браузере и ошибку логики macOS, когда ядро перезаписывает данные для выполнения кода с расширением ядра для успешного использования Apple Safari.
Найденный эксплойт принес ему 65 000 долларов и 6 очков в Master of Pwn.
TippingPoint, организация, которая оплачивает награды за найденные эксплойты, чтобы ее программное обеспечение в области программной безопасности могло быть наиболее эффективным.
Apple имеет хороший послужной список своевременных ответов на основные уязвимости безопасности и исправления второстепенных в регулярных обновлениях, поэтому мы ожидаем увидеть, что эта уязвимость будет исправлена в предстоящем обновлении macOS.
Кроме того, уже в Check Point Research обнаружили серьезную ошибку в версии Mac для Google Chrome для удаленного рабочего стола. Это позволяет кому-то получить доступ к учетной записи администратора или другой учетной записи, не требуя пароля.
Ожидается, что локальный пользователь, который подключается удаленно к машине macOS, получит доступ к рабочему столу в статусе "Гость". Но в то время как кто-то заходит на удаленный компьютер через расширение Chrome, он, без ввода пароля, получает рабочий стол другого активного сеанса пользователя, который в этом случае является администратором системы.
CPR заявила, что месяц назад она сообщила об ошибке Google, но поисковый гигант сказал, что он не планирует ее исправлять, поскольку "экран входа в систему не является границей безопасности".
Иван Ковалев
ИсточникВ новой iOS 14 Apple предлагает сократить нарастающее количество приложений на вашем iPhone. Вот как скрыть программы,
Цифровизация всех сервисных процессов подразделений крупных компаний позволяет связать их в единую систему. Это
Не так давно компания Apple внесла изменения в то, как iOS обрабатывает таинственное «другое» (Other) хранилище на
