Ευπάθεια Zero-Click στο macOS Calendar επιτρέπει κακόβουλες ενέργειες

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

Ευπάθεια Zero-Click στο macOS Calendar επιτρέπει κακόβουλες ενέργειες
https://www.secnews.gr/619458/efpatheia-zero-click-macos-calendar-epitrepei-kakovoules-energeies/
Sep 17th 2024, 12:24

Μία κρίσιμη ευπάθεια zero-click στο macOS Calendar, επιτρέπει στους εισβολείς να προσθέτουν ή να διαγράφουν αυθαίρετα αρχεία μέσα στο περιβάλλον sandbox του Calendar και να εκτελούν κακόβουλο κώδικα χωρίς καμία αλληλεπίδραση με τον χρήστη.



Δείτε επίσης: Νεπαλέζος χάκερ αποκάλυψε αδυναμία Zero-Click του Facebook






Η ευπάθεια, που εντοπίστηκε από τον ερευνητή ασφαλείας Mikko Kenttala το 2022, θα μπορούσε επίσης να συνδυαστεί με αποφυγή προστασίας ασφαλείας στο Photos για να παραβιάσει τα ευαίσθητα δεδομένα iCloud Photos των χρηστών.



Το exploit ξεκινά με έναν εισβολέα που στέλνει μια κακόβουλη πρόσκληση ημερολογίου που περιέχει ένα συνημμένο αρχείο με ένα unsanitized filename. Αυτό επιτρέπει στον εισβολέα να εκτελέσει μια επίθεση διέλευσης καταλόγου και να τοποθετήσει το αρχείο σε ανεπιθύμητες τοποθεσίες στο σύστημα αρχείων του θύματος.



Η ευπάθεια zero-click στο macOS Calendar, η οποία παρακολουθείται ως CVE-2022-46723, επιτρέπει στους εισβολείς να αντικαταστήσουν ή να διαγράψουν αρχεία εντός του συστήματος αρχείων της εφαρμογής Calendar. Στη συνέχεια, οι εισβολείς θα μπορούσαν να κλιμακώσουν την επίθεση εισάγοντας κακόβουλα αρχεία ημερολογίου που έχουν σχεδιαστεί για την εκτέλεση κώδικα κατά την αναβάθμιση του macOS, ιδιαίτερα από το Monterey στο Ventura.



Δείτε ακόμα: Apple: Σοβαρή Zero-Click ευπάθεια στην εφαρμογή Shortcuts



Αυτά τα αρχεία περιλάμβαναν συμβάντα με λειτουργίες ειδοποίησης που θα ενεργοποιούνταν όταν το σύστημα επεξεργαζόταν δεδομένα ημερολογίου. Τα αρχεία θα περιέχουν κώδικα για αυτόματη εκκίνηση εικόνων .dmg και συντομεύσεων .url, οδηγώντας τελικά σε απομακρυσμένη εκτέλεση κώδικα (RCE).






Για να αποδείξει τη σοβαρότητα της εκμετάλλευσης, η Kenttala έδειξε πώς ένας εισβολέας θα μπορούσε να κάνει κατάχρηση των φωτογραφιών για να διαρρεύσει φωτογραφίες ιδιωτικών χρηστών που είναι αποθηκευμένες στο iCloud.



Αλλάζοντας τη διαμόρφωση των Photos για χρήση ενός μη προστατευμένου καταλόγου ως Βιβλιοθήκη φωτογραφιών συστήματος, ο εισβολέας θα μπορούσε να παρακάμψει την προστασία διαφάνειας, συναίνεσης και ελέγχου (TCC) και να αποκτήσει πρόσβαση στις φωτογραφίες iCloud του θύματος.



Για την προστασία από ευπάθειες zero-click όπως αυτή του macOS Calendar, συνιστάται στους χρήστες να διατηρούν ενημερωμένο το λογισμικό τους, καθώς η Apple κυκλοφορεί συχνά ενημερώσεις κώδικα που αντιμετωπίζουν ελαττώματα ασφαλείας. Επιπλέον, ο περιορισμός της πρόσβασης των εφαρμογών σε ευαίσθητα δεδομένα, όπως ημερολόγια και φωτογραφίες, μπορεί να συμβάλει στην ενίσχυση της ασφάλειας της συσκευής.



Δείτε επίσης: Ευπάθειες σε Microsoft apps θέτουν σε κίνδυνο συστήματα macOS



Μια ευπάθεια zero-click, αναφέρεται σε μια κατηγορία κενών ασφαλείας που μπορούν να αξιοποιηθούν χωρίς την ανάγκη οποιασδήποτε αλληλεπίδρασης από τον χρήστη. Αυτές οι ευπάθειες είναι ιδιαίτερα ανησυχητικές, διότι οι επιτιθέμενοι μπορούν να εκτελέσουν κακόβουλο κώδικα ή να αποκτήσουν πρόσβαση σε ένα σύστημα χωρίς να απαιτείται από τον στόχο να κάνει καμία ενέργεια, όπως το άνοιγμα ενός αρχείου ή το πάτημα ενός συνδέσμου. Λόγω της φύσης αυτών των ευπαθειών, η ανίχνευση και η πρόληψή τους είναι εξαιρετικά δύσκολη, καθιστώντας αυτές τις επιθέσεις εξαιρετικά επικίνδυνες για την ασφάλεια των συσκευών και των προσωπικών δεδομένων.



Πηγή: cybersecuritynews



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια