Rejtett mappát fedett fel a macOS

​A macOS kapcsán egy fejlesztő olyan sebezhetőségre akadt, amelynek kihasználásával rejtett fájlokhoz is hozzá tudott férni.
 

Jeff Johnson, Mac és iOS fejlesztő éppen az egyik saját alkalmazásán dolgozott, amikor egy érdekes jelenségre lett figyelmes. Egyszer csak olyan fájlokhoz is hozzáférést kapott a gépén, amihez nem volt jogosultsága.
 
Ez esetben arról volt szó, hogy a ~/Library/Safari mappában lévő állományokhoz kapott olvasási jogot, holott ez egy olyan könyvtár, amibe csak néhány kivételezett szoftver tekinthet bele. Így például a Safari és a Finder. Adatbiztonsági okok miatt e mappa tartalma nem olvasható "külső" szoftverek számára.
 
A fejlesztő szerint éppen egy API-függvényt akart felhasználni a szoftverében, amikor jelentkezett a furcsaság. Azt ugyan nem kívánta elárulni, hogy mely API-ról van szó, de azt közölte, hogy a hiba kihasználása nem különösebben komplikált, azt bármely Mac-fejlesztő képes lehet kivitelezni. A szakember már értesítette az Apple-t a felfedezéséről.
 
"A Mojave speciális hozzáférést biztosít néhány alkalmazás - például a Finder - számára az említett könyvtár eléréséhez. Azonban egy olyan technikára akadtam, amivel ez a fajta védelem megkerülhetővé válhat, és bármely app betekintést nyerhet a ~/Library/Safari mappába anélkül, hogy ehhez bármilyen előzetes rendszer- vagy felhasználói engedélyre szükség lenne. Nem jelenik meg semmiféle engedélyező ablak sem" - nyilatkozta a szakember.
 
A Jeff Johnson által feltárt hiba a Safari böngészési előzményeihez ad hozzáférést, de a szakember egyelőre csak egy mappa vonatkozásában vizsgálódott, így lehet, hogy más rendszerkönyvtárak is érintettek. Jelenleg az egyetlen kockázatcsökkentő tényező, hogy a sérülékenység sandboxban futó alkalmazások révén nem használható ki.
 
Vélemények
 
  1. 4

    A Firefox 67-es kiadása számos biztonsági frissítéssel is szolgál.

  2. 4

    Az WebSphere Application Server egy fontos biztonsági hibajavítást kapott.

  3. 2

    A Ryuk zsaroló program is fájlok titkosítására, illetve váltságdíj követelésére hangolódott.

 
Partnerhírek
Az ingyenes videostreamek veszélyei

Javában tart az IIHF Jégkorong Világbajnokság Szlovákiában, és az NHL Stanley Cup rájátszásai is zajlanak.

​Adatainkkal fizetünk az ingyenes szolgáltatásokért

Az interneten burjánzó ingyenes alkalmazásokról, szolgáltatásokról sorra kiderül, hogy mégsem teljesen ingyenesek, ehelyett végső soron adatainkkal fizetünk értük.

hirdetés
Közösség
1