Προς το περιεχόμενο

Η Google αποκαλύπτει σοβαρό κενό ασφαλείας στο macOS πριν η Apple διαθέσει κατάλληλο patch


voltmod

Προτεινόμενες αναρτήσεις

To Project Zero της Google για ακόμη μία φορά αποδεικνύεται δίκοπο μαχαίρι.

Το Project Zero ανέφερε λεπτομερώς την ύπαρξη ενός εξαιρετικά σοβαρού κενού ασφαλείας στον πυρήνα (kernel) του macOS που επιτρέπει την τροποποίηση ενός user-mounted file system image χωρίς να γίνει αντιληπτό από το εικονικό υποσύστημα διαχείρισης, κάτι που επομένως θεωρητικά δίνει τη δυνατότητα σε κάποιον επιτιθέμενο να περάσει απαρατήρητος από τον χρήστη.

Ένας ερευνητής ασφαλείας από το Project Zero ανακάλυψε ότι παρόλο που σε ορισμένες περιπτώσεις ο kernel του macOS, XNU, επιτρέπει τη συμπεριφορά copy-on-write (COW) είναι ζήτημα κρίσιμης σημασίας να μην είναι διαθέσιμη οποιαδήποτε αντιγραφείσα μνήμη για τροποποιήσεις από τη διαδικασία προέλευσης. Παρόλο που η COW είναι μια τεχνική διαχείρισης πόρων που είναι αποδεκτή, ο τρόπος που εφαρμόζεται από την Apple είναι εσφαλμένος.

Η Apple εργάζεται αυτή τη περίοδο στην ανάπτυξη ενός patch για να κλείσει το κενό ασφαλείας ωστόσο η αποκάλυψη έγινε πριν καταστεί κάτι τέτοιο δυνατόν, με αποτέλεσμα οι χρήστες Mac να παραμένουν ευάλωτοι για την ώρα.

Το «timing» που επέλεξε η Google για να αποκαλύψει το σοβαρό κενό ασφαλείας είναι το αποτέλεσμα του τρόπου λειτουργίας του «Project Zero». H Google ειδοποίησε την Apple για το bug τον Νοέμβριο του 2018, όμως με την πολιτική αυτόματης αποκάλυψης 90-ημερών που ακολουθείται, τα κενά ασφαλείας δημοσιοποιούνται ανεξάρτητα από το αν υπάρχει ή όχι κάποιο fix. Επομένως, το Project Zero δίνει 90 ημέρες περιθώριο στις εταιρείες προτού προβεί στην δημοσιοποίηση των ευρημάτων του. Επιπλέον, αν και υπάρχει μία περίοδος χάριτος 14 ημερών για (μικρότερες ενδεχομένως) εταιρείες που δεν πιστεύουν ότι θα έχουν εγκαίρως ετοιμάσει τα σχετικά patches, όπως καταλαβαίνετε, μία εταιρεία του μεγέθους της Apple δεν πληροί τις προϋποθέσεις για τέτοια αναβολή.   

Δεν είναι ξεκάθαρο κατά πόσο εύκολα αυτό το κενό ασφαλείας μπορεί να χρησιμοποιηθεί για επιθέσεις, όμως μέχρι να διατεθεί το patch από την Apple καλό θα ήταν να είστε προσεκτικοί με τις σελίδες που επισκέπτεστε και τα αρχεία που κατεβάζετε στον υπολογιστή σας. Μία επιτυχημένη επίθεση θα μπορούσε θεωρητικά να κάνει σοβαρές αλλαγές στο macOS χωρίς να γίνουν αντιληπτές παρά όταν θα είναι αργά πια.

Engadget

Neowin


Διαβάστε ολόκληρο το άρθρο

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Απαντ. 106
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

Αυτό που το MacOS θεωρείται "απόρθητο φρούριο" με ξεπερνάει. Κι εγώ Mac έχω στο γραφείο αλλά δε μπαίνω σε ότι σελίδα βρω μπροστά μου ούτε ανοίγω ότι αρχείο μου στείλουν σε spam. Είναι μεν πολύ ασφαλέστερο των Windows (που τα θεωρώ εντελώς "τρύπια") αλλά όχι να θεωρούμε ότι επειδή έχουμε Mac έχουμε λύσει μια για πάντα το πρόβλημα της ασφάλειας.

  • Like 12
  • Thanks 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Επισκέπτης
Δημοσ. (επεξεργασμένο)

Αστείο, ποιος μιλάει... η Google που διαδίδει την ανασφάλεια και τους ιούς με την ταχύτητα του φωτός!

Επεξ/σία από Επισκέπτης
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημοσ. (επεξεργασμένο)
21 λεπτά πριν, Nikosmile είπε

Αστείο, ποιος μιλάει... η Google που διαδίδει την ανασφάλεια και τους ιούς με την ταχύτητα του φωτός!

Έχεις δίκιο για το bug και για το γεγονός ότι 90 μέρες δεν μπορούν να φτιάξουν φταίει η Google.Η Google τους ενημέρωσε για να φτιάξουν το κενό,η Google σου φταίει?

Επεξ/σία από Istros
  • Like 18
  • Thanks 5
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Για άλλη μια φορά αποδεικνύεται ότι  αυτή η εταιρεία και τα προϊόντα της σε αρκετές περιπτώσεις είναι όλο φανφάρες χωρίς  πραγματικά να ανταποκρίνονται στον ΄΄μύθο΄΄ που έχουν χτίσει περί ασφάλειας και ποιότητας και ας ζητάνε εάν σκασμό λεφτά.

Για άλλη μια φορά  αποδεικνύεται ότι ΟΛΑ ΜΑ ΟΛΑ τα λειτουργικά έχουν τρύπες .

Εύλογα κάποιος αναρωτιέται εάν το mac os και τo ios είχαν το μερίδιο αγοράς των windows και του android και ασχολούταν μαζί τους άνθρωποι που κάνουν αυτή την δουλειά τι ‘’τρύπες ‘’ επιπλέον θα έβρισκαν .

  • Like 7
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημοσ. (επεξεργασμένο)
15 λεπτά πριν, Nikosmile είπε

Αστείο, ποιος μιλάει... η Google που διαδίδει την ανασφάλεια και τους ιούς με την ταχύτητα του φωτός!

Τι εννοεις γέροντα ότι η Google μεταδίδει ιούς και ανασφάλεια ? Για κάντο μας λίγο πιο λιανά 

Επεξ/σία από Drunkard
  • Like 2
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

12 λεπτά πριν, stafaf είπε

Αρτέμης Μάτσας alert.

hqdefault.jpg

τώρα εσύ πιστεύεις πως εάν οι θέσεις ήταν διαφορετικές, η apple δεν θα έκανε το ίδιο. και τις έδωσε παραπάνω από 90 ημέρες

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Super Moderators
42 minutes ago, Istros said:

Πάνω απ' όλα πληρώνεις ασφάλεια

Όπου γάμος και γιορτή...

Και είσαι και ψεύτης γιατί η "αποτοξίνωση" ήταν απλά ένα τρικ που έκανες για να μη σε "πιάσει" κάνα ban! 😛 

 

  • Like 2
  • Thanks 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

16 λεπτά πριν, Drunkard είπε

Τι εννοεις γέροντα ότι η Google μεταδίδει ιούς και ανασφάλεια ? Για κάντο μας λίγο πιο λιανά 

Δεν τους μεταδιδει ακριβως η ιδια...αλλα αν δεν ελεγχεις τις σαβουρο-εφαρμογες και τους περνανε οι αλλοι ειναι η μιση ευθυνη και ντροπη δικη σου.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Δημιουργία νέου...