Casa > Cyber ​​Notizie > Le vulnerabilità zero-day in Safari espongono la tua fotocamera macOS
CYBER NEWS

Le vulnerabilità zero-day in Safari espongono la tua fotocamera macOS

Le vulnerabilità zero-day in Safari espongono la tua fotocamera macOS
Il ricercatore di sicurezza Ryan Pickren ha recentemente scoperto e segnalato ad Apple una serie di vulnerabilità di macOS che hanno esposto il browser Safari.

4 Nuovi Zero-Days segnalati ad Apple

L'hack del ricercatore "ha ottenuto con successo l'accesso non autorizzato alla fotocamera sfruttando una serie di problemi con la condivisione di iCloud e Safari 15". Come risultato della ricerca, 4 sono emersi difetti zero-day – CVE-2021-30861, CVE-2021-30975, e due senza CVE. Pickren ha segnalato la catena di vulnerabilità ad Apple ed è stato premiato $100,500 come ricompensa.




Mentre il bug relativo alle fotocamere macOS richiede che la vittima faccia clic “aperto” su un popup da un sito web, si traduce in qualcosa di più del semplice dirottamento dei permessi multimediali, il ricercatore spiegato.

"Questa volta, il bug offre all'attaccante il pieno accesso a ogni sito web mai visitato dalla vittima. Ciò significa oltre ad accendere la fotocamera, il mio bug può anche hackerare il tuo iCloud, PayPal, Facebook, Gmail, etc. anche i conti,” ha aggiunto Pickren. In poche parole, lo sfruttamento della catena di problemi potrebbe consentire a un utente malintenzionato di dirottare l'autorizzazione multimediale e ottenere l'accesso completo a tutti i siti Web visitati dalla vittima in Safari, compreso Gmail, iCloud, Facebook, e PayPal.

Le vulnerabilità derivano da una funzionalità chiamata ShareBear, che è un meccanismo di condivisione file di iCloud che richiede agli utenti quando si apre un documento condiviso per la prima volta. Poco detto, il ricercatore ha sfruttato il fatto che il prompt viene mostrato all'utente solo una volta dopo l'accesso per aprire il file, il ricercatore ha scoperto la possibilità di alterare il contenuto del file in vari modi.

“ShareBear scaricherà e aggiornerà il file sul computer della vittima senza alcuna interazione o notifica da parte dell'utente. In sostanza, la vittima ha concesso all'attaccante il permesso di impiantare un file polimorfico sul proprio computer e il permesso di lanciarlo da remoto in qualsiasi momento,” Egli ha detto.

Completa divulgazione tecnica è disponibile in il report originale.

La settimana scorsa, Apple ha rilasciato nuove versioni dei suoi sistemi operativi – iOS 15.3 e macOS Monterey 12.2, che conteneva una serie di correzioni, di cui due zero-day.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo