Rejtett mappát fedett fel a macOS

​A macOS kapcsán egy fejlesztő olyan sebezhetőségre akadt, amelynek kihasználásával rejtett fájlokhoz is hozzá tudott férni.
 

Jeff Johnson, Mac és iOS fejlesztő éppen az egyik saját alkalmazásán dolgozott, amikor egy érdekes jelenségre lett figyelmes. Egyszer csak olyan fájlokhoz is hozzáférést kapott a gépén, amihez nem volt jogosultsága.
 
Ez esetben arról volt szó, hogy a ~/Library/Safari mappában lévő állományokhoz kapott olvasási jogot, holott ez egy olyan könyvtár, amibe csak néhány kivételezett szoftver tekinthet bele. Így például a Safari és a Finder. Adatbiztonsági okok miatt e mappa tartalma nem olvasható "külső" szoftverek számára.
 
A fejlesztő szerint éppen egy API-függvényt akart felhasználni a szoftverében, amikor jelentkezett a furcsaság. Azt ugyan nem kívánta elárulni, hogy mely API-ról van szó, de azt közölte, hogy a hiba kihasználása nem különösebben komplikált, azt bármely Mac-fejlesztő képes lehet kivitelezni. A szakember már értesítette az Apple-t a felfedezéséről.
 
"A Mojave speciális hozzáférést biztosít néhány alkalmazás - például a Finder - számára az említett könyvtár eléréséhez. Azonban egy olyan technikára akadtam, amivel ez a fajta védelem megkerülhetővé válhat, és bármely app betekintést nyerhet a ~/Library/Safari mappába anélkül, hogy ehhez bármilyen előzetes rendszer- vagy felhasználói engedélyre szükség lenne. Nem jelenik meg semmiféle engedélyező ablak sem" - nyilatkozta a szakember.
 
A Jeff Johnson által feltárt hiba a Safari böngészési előzményeihez ad hozzáférést, de a szakember egyelőre csak egy mappa vonatkozásában vizsgálódott, így lehet, hogy más rendszerkönyvtárak is érintettek. Jelenleg az egyetlen kockázatcsökkentő tényező, hogy a sérülékenység sandboxban futó alkalmazások révén nem használható ki.
 
Vélemények
 
  1. 3

    A CoreFTP FTP és SFTP Server egy közepes veszélyességű sebezhetőséget tartalmaz.

  2. 3

    A Drupal fejlesztői egy biztonsági hibajavítást adtak ki.

  3. 1

    A Fakeslic trójai a felhasználók megtévesztésével próbál felkerülni a kiszemelt számítógépekre.

 
Partnerhírek
​Kiberbűnözés a dark weben

A kiberbűnözés 3 billió (milliószor millió) dolláros kiadást jelentett világszerte 2015-ben, és az előrejelzések szerint ez az összeg 2021-re 6 billióra emelkedik.

​Több millió autó(s) lehet veszélyben az okos riasztók miatt

Több millió autóba szerelték be olyan, mobiltelefonnal irányítható riasztókat, amelyek komoly biztonsági hibáik miatt nemhogy megvédik, de sokkal sérülékenyebbé teszik az autókat és az autósokat is.

hirdetés
Közösség
1