Mēs Macworld lietotājiem iesakām atjaunināt savas operētājsistēmas pēc iespējas ātrāk pēc tam, kad Apple to atceļ. A nesenais ziņojums no Thijs Alkemade, kiberdrošības uzņēmuma Computestreminds drošības pētnieks, atgādina mums galveno iemeslu, kāpēc: tajos bieži ir ietverti kritiski drošības ielāpi.
Kā ziņo Wired, macOS ievainojamība tika atklāta MacOS saglabātā stāvokļa funkcijā, kas automātiski atkārtoti atver lietotnes un failus, kas tika atvērti, restartējot Mac datoru. Alkemade, kurš atklāja caurumu 2020. gada decembrī, spēja veiksmīgi uzsākt procesa injekcijas uzbrukumu pret Mac saglabāto stāvokli. Pēc tam viņš varēja apiet vairākus citus Mac drošības līdzekļus un pēc tam piekļūt lietotāja failiem, mainīt sistēmas iestatījumus un izmantot tīmekļa kameru. Wired teica, ka nav pierādījumu, ka šī kļūda būtu izmantota reālajā pasaulē.
Kļūda, kas ir reģistrēta kā CVE-2021-30873 Nacionālajā neaizsargātības datubāzē, tika fiksēts ar macOS Monterey 12.0.1 atjauninājums kas tika izlaists 2021. gada 25. oktobrī. Operētājsistēmai macOS Catalina, a
atbalsta dokumentā teikts, ka drošības atjauninājums 2021-007 2021. gada 24. oktobrī izdotajā versijā ir iekļauts šīs pašas ievainojamības ielāps. Šķiet, ka Big Sur nav pieejams ielāps. Apple uzskata, ka MacOS versijas, kas vecākas par Catalina (versija 10.14.6 Mojave un vecākas), ir neatbalstītas vai novecojušas. Līdzīgs trūkums tika izlabots arī operētājsistēmās iOS 14.5 un iPadOS 14.5.A emuāra ieraksts Computest vietnē ir detalizēti izskaidrots uzbrukums, kā arī parādīts, kā labojumu var redzēt, izmantojot Xcode, Apple integrētās izstrādes vides (IDE) lietotni programmatūras rakstīšanai. Tas viss ir ļoti tehniski, taču jums nav jābūt inženierim, lai saprastu šo brīdinājumu: “Kad ir atbrīvots no SIP failu sistēmas ierobežojumus, mēs varam lasīt visus failus no aizsargātām vietām, piemēram, lietotāja Mail.app pastkastes,” Alkemade raksta. "Mēs varam arī modificēt TCC datu bāzi, kas nozīmē, ka mēs varam piešķirt sev atļauju piekļūt tīmekļa kamerai, mikrofonam utt."
Alkemade arī iepazīstināja ar saviem atklājumiem Black Hat 2022 konference pagājušajā nedēļā, un viņa prezentācijas slaidi ir pieejami tiešsaistē. Drošības pētnieki bieži atklāj savus atklājumus pēc tam, kad viņi ir ziņojuši attiecīgajiem uzņēmumiem un ievainojamības ir novērstas.
Kā atjaunināt macOS
MacOS atjauninājumi ir bezmaksas. Ir nepieciešams interneta savienojums, un jūsu Mac ir jārestartē. Atvēliet apmēram 30 minūtes, lai veiktu instalēšanu. Tālāk ir norādītas instalēšanas darbības.
- Apple izvēlnē dodieties uz System Preferences
- Klikšķiniet uz Programmatūras atjauninājums.
- Jūsu Mac pārbaudīs, vai ir pieejami atjauninājumi. Ja tā, an Uzstādīt parādīsies poga. Noklikšķiniet uz tā, un jūsu Mac sāks lejupielādēt atjauninājumu. Pēc tam tas sāks instalēšanu.