בעלי MacBook, שימו לב: ייתכן שהמחשב הנייד שלכם אינו מוגן מפני התקפות זדוניות.
חוקרי אבטחה בצוות Project Zero של גוגל חשפו היום פגיעות של "חומרה גבוהה" במערכת ההפעלה של שולחן העבודה של macOS של אפל. החור הפער בהגנות macOS יכול לאפשר לתוקף לנצל מערכת מבלי שהקורבן יידע על כך.
הפגיעות ליום אפס נובעת מהעתק-על-כתיבה, תהליך שמותר על ידי גרעין ה- XNU של אפל שעובד עם זיכרון אנונימי ומיפוי קבצים. על פי הודעה שפורסמה על ידי Google ב- Monorail, הזיכרון שהועתק ב- macOS אינו מוגן כראוי מפני שינויים, ולכן ניתן לנצל את תהליך ההעתקה על הכתיבה כדי להעתיק קוד שעלול להיות מסוכן.
"המשמעות היא שאם תוקף יכול לשנות מוטציה של קובץ בדיסק מבלי ליידע את תת-המערכת לניהול וירטואלי, זהו באג אבטחה", כתבו חוקרי גוגל.
גוגל הודיעה לאפל על הפגם בנובמבר 2022-2023-2022 אך ענקית קופרטינו לא הצליחה לשחרר תיקון לפני שחלף המועד ה -90 יום. מומחי אבטחה הגדירו את הפגיעות כ"חומרה גבוהה ".
"היינו בקשר עם אפל בנוגע לנושא זה, ובשלב זה אין תיקון זמין", כתבו חוקרים. "אפל מתכוונת לפתור בעיה זו במהדורה עתידית, ואנו עובדים יחד כדי להעריך את האפשרויות עבור תיקון. נעדכן את ערך מעקב הנושאים לאחר שיהיה לנו פרטים נוספים".
לא ברור כמה מערכות, אם בכלל, הושפעו מהליקוי. מלבד הפעולות הסטנדרטיות שניתן לבצע כדי להגן על המחשב הנייד שלהם, משתמשי MacBook יכולים רק לחצות אצבעות שיגיע עדכון בקרוב עם תיקון.
אם פרויקט אפס של גוגל נשמע מוכר, זה בגלל שצוות החוקרים הזה תרם לגילוי מתקפת האבטחה של מלטדאון בתחילת השנה שעברה.
פנינו לאפל בנוגע לפגיעות ההעתקה-על-כתיבה ונעדכן את הפוסט אם נשמע.