Siempre hemos sabido que actualizar a los últimos sistemas operativos era algo más que probar las nuevas características que los desarrolladores de Apple han implementado. Siempre se incluyen mejoras y corrección de errores que en ocasiones parece que son sólo trámites pero bien sabemos que no es así. De hecho las últimas actualizaciones de macOS Big Sur y macOS Monterey incluían una serie de mejoras y evitaban la exposición a una nueva vulnerabilidad de macOS.
Microsoft ha informado que una nueva vulnerabilidad de macOS que «podría permitir a un atacante eludir la tecnología de transparencia, consentimiento y control (TCC) del sistema operativo». Apple solucionó esta vulnerabilidad el mes pasado como parte de las actualizaciones de macOS Big Sur y macOS Monterey. Por lo que, aunque parezca mentira, Microsoft está animando a todos los usuarios a instalar las últimas versiones de los sistemas operativos mencionados.
Apple lanzó la nueva actualización para esta vulnerabilidad con el lanzamiento de macOS Monterey 12.1 y macOS Big Sur 11.6.2 el pasado 13 de diciembre. En ese momento, Apple simplemente explicó que una aplicación podría haber podido eludir las preferencias de privacidad. Por ello y como solución al problema, se lanzaron las actualizaciones con el objetivo de solucionar la vulnerabilidad.
Ahora, Microsoft ha publicado a través de una nota detallada en el blog de que se trata exactamente el problema y la solución aportada. Escrito por el equipo de investigación de Microsoft 365 Defender, la publicación de blog explica lo que es TCC. Una tecnología que evita que las aplicaciones accedan a la información personal de los usuarios sin su consentimiento y conocimiento previos.
Dado esto, si un malintencionado obtiene acceso completo al disco a las bases de datos TCC, podría editarlo para otorgar permisos arbitrarios a cualquier aplicación que elija. Incluida su propia aplicación maliciosa. Tampoco se le pediría al usuario afectado que permita o deniegue dichos permisos. Eso permitirá que la aplicación se ejecute con configuraciones que tal vez no haya conocido o consentido.