Apple hoje confirmado para TechCrunch que o atualização de software macOS 11.3 recém-lançada corrige uma vulnerabilidade de segurança que supostamente poderia ter permitido a um hacker acessar remotamente os dados confidenciais de um usuário, induzindo-o a abrir um documento falsificado.
'Tudo o que o usuário precisa fazer é clicar duas vezes - e nenhum prompt ou aviso do macOS é gerado', disse o pesquisador de segurança Cedric Owens, que descobriu a vulnerabilidade em meados de março, de acordo com o relatório. Owens desenvolveu um aplicativo de prova de conceito mascarado como um documento inofensivo que explora o bug para iniciar o aplicativo Calculadora, mas ele disse que a vulnerabilidade pode ser explorada para propósitos mais nefastos.
De acordo com o pesquisador de segurança Patrick Wardle, a vulnerabilidade foi o resultado de um bug lógico no código subjacente do macOS.
'Em termos simples, os aplicativos macOS não são um único arquivo, mas um pacote de arquivos diferentes que o aplicativo precisa para funcionar, incluindo um arquivo de lista de propriedades que informa ao aplicativo onde os arquivos dos quais ele depende estão localizados', explica TechCrunch . 'Mas Owens descobriu que retirar esse arquivo de propriedade e construir o pacote com uma estrutura específica poderia induzir o macOS a abrir o pacote - e executar o código dentro dele - sem acionar nenhum aviso.'
Além de corrigir o bug no macOS 11.3, a Apple disse TechCrunch ele corrigiu versões anteriores do macOS para evitar abusos e atualizou o sistema anti-malware integrado do macOS XProtect para impedir que o malware explorasse a vulnerabilidade. O relatório diz que o bug foi explorado por meses, mas não está claro quantos usuários foram afetados.
Publicações Populares