Pri Macworldu uporabnikom svetujemo, naj posodobijo svoje operacijske sisteme čim prej, potem ko jih Apple opusti. A nedavno poročilo Thijs Alkemade, varnostni raziskovalec pri podjetju za kibernetsko varnost Computestreminds, nas opominja na razlog številka ena: pogosto vsebujejo kritične varnostne popravke.
Kot poroča Wired, je bila ranljivost macOS odkrita v funkciji shranjenega stanja macOS, ki samodejno znova odpre aplikacije in datoteke, ki ste jih odprli, ko znova zaženete Mac. Alkemade, ki je luknjo odkril decembra 2020, je uspel uspešno izvesti napad z vbrizgavanjem procesa proti shranjenemu stanju Mac-a. Nato je lahko obšel več drugih varnostnih funkcij Maca in nato dostopal do uporabniških datotek, spremenil sistemske nastavitve in uporabil spletno kamero. Wired pravi, da ni dokazov, da je bil ta hrošč uporabljen v resničnem svetu.
Hrošč, ki je vložen kot CVE-2021-30873 v nacionalni zbirki podatkov o ranljivostih, je bil popravljen z Posodobitev macOS Monterey 12.0.1 ki je bil izdan 25. oktobra 2021. Za macOS Catalina, a
podporni dokument navaja, da varnostna posodobitev 2021-007 izdan 24. oktobra 2021 vključuje popravek za isto ranljivost. Zdi se, da za Big Sur ni na voljo popravka. Apple meni, da različice macOS, starejše od Catalina (različica 10.14.6 Mojave in starejše), niso podprte ali zastarele. Podobna napaka je bila popravljena tudi v iOS 14.5 in iPadOS 14.5.A blog post na spletnem mestu Computest podrobno pojasnjuje napad in prikazuje tudi, kako je popravek mogoče videti z uporabo Xcode, Applove aplikacije integriranega razvojnega okolja (IDE) za pisanje programske opreme. Vse je zelo tehnično, vendar vam ni treba biti inženir, da bi razumeli to opozorilo: »Ko ste izvzeti iz SIP-jev omejitve datotečnega sistema, lahko beremo vse datoteke z zaščitenih lokacij, kot je uporabnikov nabiralnik Mail.app,« Alkemade piše. "Lahko tudi spremenimo bazo podatkov TCC, kar pomeni, da si lahko dovolimo dostop do spletne kamere, mikrofona itd."
Alkemade je svoje ugotovitve predstavil tudi na Konferenca Black Hat 2022 prejšnji teden, in njegov predstavitveni diapozitivi so na voljo na spletu. Varnostni raziskovalci pogosto razkrijejo svoje ugotovitve, potem ko so poročali ustreznim podjetjem in so bile ranljivosti odpravljene.
Kako posodobiti macOS
Posodobitve za macOS so brezplačne. Potrebna je internetna povezava in vaš Mac se mora znova zagnati. Za namestitev si vzemite približno 30 minut. Tukaj so koraki za namestitev:
- Pojdite na System Preferences v meniju Apple
- Kliknite na Posodobitev programske opreme.
- Vaš Mac bo preveril, ali so na voljo posodobitve. Če je tako, an Namestite se prikaže gumb. Kliknite in vaš Mac bo začel prenašati posodobitev. Po tem se bo začela namestitev.