Majitelia počítačov MacBook berú na vedomie: váš prenosný počítač nemusí byť chránený pred škodlivými útokmi.
Výskumníci v oblasti bezpečnosti v tíme Project Zero spoločnosti Google dnes odhalili zraniteľnosť „vysokej závažnosti“ v počítačovom operačnom systéme Apple macOS. Priepasť v obrane systému macOS by mohla útočníkovi umožniť využiť systém bez toho, aby o tom obeť vedela.
Zraniteľnosť nultého dňa pochádza z kopírovania pri zápise, čo je proces povolený jadrom XNU spoločnosti Apple, ktorý pracuje s anonymným mapovaním pamäte a súborov. Podľa príspevku spoločnosti Google na serveri Monorail nie je pamäť kopírovaná v systéme MacOS dostatočne chránená pred úpravami, a preto je možné proces kopírovania pri zápise využiť na kopírovanie potenciálne nebezpečného kódu.
„To znamená, že ak útočník dokáže zmutovať súbor na disku bez toho, aby informoval subsystém virtuálnej správy, je to chyba zabezpečenia,“ napísali vedci z Googlu.
Spoločnosť Google informovala spoločnosť Apple o chybe v novembri 2022-2023, ale cupertinskému gigantu sa nepodarilo vydať opravu pred uplynutím 90-dňovej lehoty. Bezpečnostní experti označili zraniteľnosť za „veľmi závažnú“.
„V súvislosti s týmto problémom sme boli v kontakte so spoločnosťou Apple a v tejto chvíli nie je k dispozícii žiadna oprava,“ píšu vedci. „Spoločnosť Apple má v úmysle vyriešiť tento problém v budúcom vydaní a spolupracujeme na vyhodnotení možností opravy. Tento záznam sledovača problémov aktualizujeme, akonáhle budeme mať ďalšie podrobnosti.“
Nie je jasné, koľko (ak vôbec) systémov bolo chybou postihnutých. Okrem štandardných opatrení, ktoré je možné vykonať na ochranu prenosného počítača, môžu používatelia počítačov MacBook iba držať palce, aby aktualizácia čoskoro dorazila s opravou.
Ak vám projekt Google Zero znie povedome, je to preto, že tento tím vedcov sa začiatkom minulého roka zaslúžil o objavenie bezpečnostného útoku Meltdown.
Oslovili sme spoločnosť Apple v súvislosti s chybou kopírovania a zápisu a ak sa nám ozvú, tento príspevok aktualizujeme.