Der Sicherheitsforscher Ryan Pickren hat kürzlich eine Reihe von macOS-Schwachstellen entdeckt und Apple gemeldet, die den Safari-Browser offengelegt haben.
4 Neue Zero-Days an Apple gemeldet
Der Hack des Forschers „erschuf erfolgreich unbefugten Zugriff auf die Kamera, indem er eine Reihe von Problemen mit iCloud Sharing und Safari 15 ausnutzte.“ Als Ergebnis der Recherche, 4 Zero-Day-Fehler kamen heraus – CVE-2021-30861, CVE-2021-30975, und zwei ohne CVEs. Pickren meldete Apple die Schwachstellenkette und erhielt den Zuschlag $100,500 als Prämie.
Während der Fehler im Zusammenhang mit macOS-Kameras das Opfer zum Klicken auffordert “öffnen” auf einem Popup von einer Website, es führt zu mehr als nur dem Hijacking von Multimedia-Berechtigungen, Der Forscher erklärt.
"Diesmal, Der Fehler gibt dem Angreifer vollen Zugriff auf jede Website, die das Opfer jemals besucht hat. Das bedeutet zusätzlich zum Einschalten Ihrer Kamera, Mein Fehler kann auch Ihre iCloud hacken, PayPal, Facebook, Gmail, etc. Konten auch,“ fügte Pickren hinzu. In einer Nussschale, Die Ausnutzung der Fehlerkette könnte es einem Angreifer ermöglichen, die Multimedia-Berechtigung zu entführen und vollen Zugriff auf jede Website zu erhalten, die das Opfer in Safari besucht hat, einschließlich Gmail, iCloud, Facebook, und PayPal.
Die Schwachstellen stammen von einer Funktion namens ShareBear, Dabei handelt es sich um einen iCloud-Dateifreigabemechanismus, der Benutzer auffordert, wenn sie ein freigegebenes Dokument zum ersten Mal öffnen. Kurz gesagt, Der Forscher nutzte die Tatsache, dass die Eingabeaufforderung dem Benutzer nur einmal angezeigt wird, sobald er darauf zugreift, um die Datei zu öffnen, Der Forscher entdeckte die Möglichkeit, den Inhalt der Datei auf verschiedene Weise zu verändern.
“ShareBear lädt die Datei dann herunter und aktualisiert sie auf dem Computer des Opfers ohne jegliche Benutzerinteraktion oder Benachrichtigung. Im Wesentlichen, Das Opfer hat dem Angreifer die Erlaubnis erteilt, eine polymorphe Datei auf seinem Computer zu platzieren und sie jederzeit aus der Ferne zu starten,” er sagte.
Vollständige technische Offenbarung ist in der ursprüngliche Bericht.
Letzte Woche, Apple hat neue Versionen veröffentlicht seiner Betriebssysteme – iOS 15.3 und macOS Monterey 12.2, die eine Reihe von Fixes enthielt, inklusive zwei Zero-Days.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: