แอปเปิ้ลวันนี้ ยืนยันที่จะ TechCrunch ว่า อัพเดทซอฟต์แวร์ macOS 11.3 ที่เพิ่งเปิดตัว แก้ไขช่องโหว่ด้านความปลอดภัยที่มีรายงานว่าอาจอนุญาตให้แฮ็กเกอร์เข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้จากระยะไกลโดยหลอกให้ผู้ใช้เปิดเอกสารปลอม
Cedric Owens นักวิจัยด้านความปลอดภัย กล่าวว่า 'ผู้ใช้ทั้งหมดต้องทำเพียงแค่ดับเบิลคลิก และไม่มีการสร้างการแจ้งเตือนหรือคำเตือนของ macOS' Cedric Owens นักวิจัยด้านความปลอดภัยกล่าว Owens พัฒนาแอพพิสูจน์แนวคิดที่ปลอมแปลงเป็นเอกสารที่ไม่เป็นอันตรายซึ่งใช้ประโยชน์จากจุดบกพร่องในการเปิดแอพเครื่องคิดเลข แต่เขากล่าวว่าช่องโหว่นั้นอาจถูกนำไปใช้เพื่อจุดประสงค์ที่ชั่วร้ายกว่า
ตามที่นักวิจัยด้านความปลอดภัย Patrick Wardle ช่องโหว่นั้นเป็นผลมาจากข้อผิดพลาดทางตรรกะในรหัสพื้นฐานของ macOS
'พูดง่ายๆ ก็คือ แอป macOS ไม่ใช่ไฟล์เดียว แต่เป็นไฟล์หลายไฟล์ที่แอปต้องใช้งาน ซึ่งรวมถึงไฟล์รายการคุณสมบัติที่บอกแอปพลิเคชันว่าตำแหน่งของไฟล์นั้นอยู่ที่ใด' อธิบาย TechCrunch . 'แต่ Owens พบว่าการนำไฟล์คุณสมบัตินี้ออกมาและสร้างบันเดิลที่มีโครงสร้างเฉพาะสามารถหลอกให้ macOS เปิดบันเดิลและเรียกใช้โค้ดภายในได้โดยไม่ทำให้เกิดคำเตือนใดๆ'
นอกเหนือจากการแก้ไขข้อผิดพลาดใน macOS 11.3 แล้ว Apple บอก TechCrunch มันแก้ไข macOS เวอร์ชันก่อนหน้าเพื่อป้องกันการละเมิดและอัปเดตระบบป้องกันมัลแวร์ในตัวของ macOS XProtect เพื่อบล็อกมัลแวร์จากการใช้ประโยชน์จากช่องโหว่ รายงานระบุว่าจุดบกพร่องดังกล่าวถูกใช้มาเป็นเวลาหลายเดือนแล้ว แต่ยังไม่ชัดเจนว่ามีผู้ใช้กี่คนที่ได้รับผลกระทบ
โพสต์ยอดนิยม