Команда компанії Microsoft виявила у macOS вразливість, пов'язану зі Spotlight. Ця уразливість могла дозволити зловмисникам викрадати приватні дані з файлів, використовуючи спеціальні плагіни Spotlight. Назву "Sploitlight" команда загроз дала цій експлуатації, оскільки вона використовує можливості плагінів Spotlight для обходу механізму Transparency, Consent, and Control (TCC). Цей механізм зазвичай запобігає доступ додатків до особистої інформації без згоди користувача. Однак Microsoft знайшла спосіб обійти ці обмеження, модифікувавши пакунки додатків, які Spotlight підтягує, витікаючи вміст файлів та отримуючи доступ до чутливої інформації, такої як метадані фотографій і відео, історія пошуку, дані розпізнавання облич з бібліотеки фотографій, а також налаштування користувача.

Вразливість Spotlight у macOS виявлена Microsoft

Microsoft повідомила про цю проблему Apple, і компанія швидко виправила її у оновленнях macOS 15.4 і iOS 15.4, які вийшли 31 березня. Вразливість ніколи не була активно використана, оскільки Apple вдалося виправити її до розкриття. У документі підтримки безпеки Apple зазначено, що проблема була усунена за допомогою покращення обробки даних. Крім того, були виправлені ще дві вразливості, за які також дякують Microsoft, зокрема покращено перевірку символічних посилань та управління станом.

Логотип телеграм спільноти - Bitcoin, інвестування, гроші - Лінивий CRYPTO інвестор
YOUTUBE канал по фронтенду
Підписуйся на канал Frontend Shinobi, щоб отримувати найсвіжіші техніки, поради та інструменти для веб-розробників. Хочеш бути в тренді? Хочеш створювати стильні сайти та веб-додатки? Тоді тобі точно сюди!
АААААА хочу підписатисяяяяя!!!
Логотип телеграм спільноти - STERNENKO
STERNENKO
Допомога ЗСУ https://www.sternenkofund.org/donate 🫶🏻Фонд @sternenkofund ❗️Нікому не пишу, не прошу гроші, поповнити рахунок чи щось купити. Усі збори на армію публічні. Російська мова у коментах заборонена.
Приєднатися
Логотип телеграм спільноти - Сергій Притула
Сергій Притула
Посилання на канал: https://t.me/serhiyprytula Мій фейсбук - https://www.facebook.com/serhiyprytula/ Інстаграм - https://www.instagram.com/siriy_ua/ Youtube - https://www.youtube.com/prytula БАЗА МОНО - https://base.monobank.ua/89gMbvnkrTu7sR
Приєднатися
Логотип телеграм спільноти - ББС Небесна Кара
ББС Небесна Кара
Офіційний канал Батальйону Безпілотних Систем Небесна Кара, 54 ОМБр Наше гасло: "Зло - має бути покарано! Ворог - має бути знищений!" Приєднуйтесь до нас, підримуйте нас! Більше донатів - більше контенту! Дякуємо! Зворотній зв'язок: [email protected]
Приєднатися

Детальніше про механізм експлуатації та заходи захисту можна знайти на офіційному сайті Microsoft.