La mela oggi confermato a TechCrunch che il aggiornamento software macOS 11.3 appena rilasciato corregge una vulnerabilità di sicurezza che, secondo quanto riferito, avrebbe potuto consentire a un hacker di accedere in remoto ai dati sensibili di un utente inducendolo con l'inganno ad aprire un documento contraffatto.
'Tutto ciò che l'utente dovrebbe fare è fare doppio clic e non vengono generati prompt o avvisi di macOS', ha affermato il ricercatore di sicurezza Cedric Owens, che ha scoperto la vulnerabilità a metà marzo, secondo il rapporto. Owens ha sviluppato un'app di prova mascherata da documento innocuo che sfrutta il bug per avviare l'app Calcolatrice, ma ha affermato che la vulnerabilità potrebbe essere sfruttata per scopi più nefasti.
Secondo il ricercatore di sicurezza Patrick Wardle, la vulnerabilità era il risultato di un bug logico nel codice sottostante di macOS.
'In parole povere, le app macOS non sono un singolo file ma un insieme di file diversi di cui l'app ha bisogno per funzionare, incluso un file di elenco delle proprietà che indica all'applicazione dove si trovano i file da cui dipende', spiega TechCrunch . 'Ma Owens ha scoperto che estrarre questo file di proprietà e creare il pacchetto con una struttura particolare potrebbe indurre macOS ad aprire il pacchetto - ed eseguire il codice all'interno - senza attivare alcun avviso'.
Oltre a correggere il bug in macOS 11.3, Apple ha detto TechCrunch ha corretto le versioni precedenti di macOS per prevenire abusi e ha aggiornato il sistema anti-malware integrato di macOS XProtect per impedire al malware di sfruttare la vulnerabilità. Il rapporto afferma che il bug è stato sfruttato per mesi, ma non è chiaro quanti utenti siano stati colpiti.
Messaggi Popolari