• 10 лучших смартфонов 2019 года по версии Роскачества

    Перед тем, как выпустить на рынок новую продукцию производителей смартфонов, среди которых известные бренды, как-то: Honor, Huawei, Samsung, Sony и Xiaomi – Роскачество обязательно исследует их на соответствие заявленному качеству, сотрудничая с коллегами из ICRT (International Consumer Research and Testing), Международной ассамблеи орган...
    Читать дальше
  • У нового массажного кресла от Xiaomi есть режим невесомости (4 фото)

    Компании Momoda и Xiaomi приступают к выпуску большого массажного кресла, призванного максимально расслаблять после тяжелого трудового дня или тренировки. Оно имеет 6 базовых рабочих режимов с различными техниками массажа.
    Читать дальше
  • Компьютер Kano по цене 300 долларов и технологии «сделай сам» (10 фото + видео)

    Современные компьютеры становятся все более доступными для пользователей. Компания Kano совместно с Microsoft представила компьютер, работающий под управлением Windows 10, поставляемый по цене до 300 долларов и принадлежащий к категории «сделай сам».
    Читать дальше
  • При изоляция Рунета от глобальной Сети отключат не всех (3 фото)

    Как только в мировой прессе стали муссироваться предположения о возможности отключения России от мировой сети Интернет, российское руководство предприняло ряд мер, направленных на предупреждение информационной изоляции страны от внешнего мира. Во-первых, Госдумой был принят закон «О суверенном интернете», а вслед за этим Минкомсвязь опубл...
    Читать дальше
  • Выявлено хакерское ПО устанавливаемое на заводах производящих Android-смартфоны

    Для установки вредоносного программного обеспечения хакеры используют самые хитроумные уловки. Специалисты компании Google выявили методику предварительной установки на смартфоны хакерских приложений Triada, задача которых заключается в распространении спама и несанкционированной рекламы.
    Читать дальше

В macOS не исправлена уязвимость, разрешающая установку вредоноса (видео)

28 мая 2019 | Apple / ПК и Ноутбуки
В macOS не исправлена уязвимость, разрешающая установку вредоноса (видео)

Филиппо Кавалларин занимается исследованиями безопасности в итальянской компании Segment. Недавно он сообщил детали уязвимости, имеющейся в macOS 10.14.5 Mojave и предыдущих версиях. Она позволяет выполнять произвольные действия па ПК, например, установку вредоносного ПО, без ведома пользователя, то есть не требуя его разрешения на операцию.

Уязвимость позволяет мошенникам обходить Gatekeeper — механизм, который встроен в macOS. Он защищает ОС от запуска сомнительных приложений, проверяя присутствие цифрового сертификата, выданного Apple. Кавалларин отметил, что Gatekeeper рассматривает внешние сети и диски в качестве безопасных мест. Наряду с прочими легитимными опциями macOS разрешает мошенникам запуск ненадёжных приложений без оповещения пользователя.

В macOS не исправлена уязвимость, разрешающая установку вредоноса (видео)

Опция автоматического монтирования в ОС и поддержки символических ссылок делает возможным запуск произвольного кода. Gatekeeper на это не реагирует. MacOS позволяет пользователю подключать сетевые ресурсы автоматически командой «autofs». Символьные ссылки — это файлы, которые создают ссылки на папки или файлы, хранящиеся в ином месте, в том числе и в общем сетевом ресурсе. Ссылки, которые содержатся в архивах, не проверяются. Мошенник может этим воспользоваться, заставив пользователя на них кликнуть, чтобы получить доступ к удалённому контенту.

Методика атаки, описанная итальянцем, довольно проста. Изучая её концепцию, исследователь внёс в файлы «Калькулятора» bash-скрипт, запускающий разные исполняемые файлы, в том числе iTunes. Также им была модифицирована иконка «Калькулятора».


Филиппо Кавалларин сообщил Apple о найденной им уязвимости ещё 22 февраля, однако компания до сих пор не исправила ситуацию. Чтобы расшевелить Apple, исследователь безопасности спустя 90 дней, решился на обнародование сведений об уязвимости.

Источник: engadget.com
Понравился пост? Просоединяйтесь к нам в Facebook!

Написать комментарий

  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Кликните на изображение чтобы обновить код, если он неразборчив

Комментарии: 3

  1. Yakudza.Djo
    28 мая 2019 15:43 Yakudza.Djo
    Иногда техногигантам надо дать пинок под зад, чтобы они работали быстрее и продуктивнее
    + 3
    Ответить
  2. Гость_vini
    28 мая 2019 19:20 Гость_vini
    В Apple о дыре знают с конца февраля. Залатать ее времени было предостаточно, а чего они спять в одном ботинке, не ясно. Возможно, брешь носит более глобальный размер
    + 1
    Ответить
  3. 7eleven
    29 мая 2019 17:41 7eleven
    Или в конторе не считают дыру критичной. Ведь от пользователя все же требуется хоть 1 раз получить добро на операцию.
    + 0
    Ответить
В Вашем браузере отключен JavaScript. Для корректной работы сайта настоятельно рекомендуется его включить.