MacOSin haavoittuvuus Officen kautta, korjattu uusimmalla versiolla macOS 10.15.3: lle

toimisto macOS: lle

Viime keskiviikko, Patrick Wardle varoitti ja osoitti haavoittuvuuden macOSissa, johon pääsee Office-ohjelman kautta. Tätä hyödyntämistä käytetään erityisesti tekstinmuokkausohjelman makrojen kautta. Makro voidaan määritellä joukoksi komentoja ja ohjeita, jotka on ryhmitelty samaksi komennoksi tehtävän suorittamiseksi automaattisesti. Onneksi ongelma on jo korjattu Office for MacOS 10.15.3: n uusimmalla versiolla

Patrick Wardle, Jamfin turvallisuusinsinööri ja entinen NSA-hakkeri, joka on erikoistunut haavoittuvuuksien etsimiseen ja löytämiseen macOS: ssa, esiintyi viime keskiviikkona «Black Hat» -konferenssissa ja blogin kautta, koska arkaluontoisia Mac-tietoja voidaan käyttää Officessa suoritettujen makrojen kautta. Siitä huolimatta se on melko vaikea suorittaa ja toteuttaa tämä hyväksikäyttö, se voidaan saavuttaa ja kun se osoittaa, ettei ole mitään sietämätöntä.

Office-makroja on käytetty useita kertoja Windows-tietokoneiden haavoittuvuuksien käyttämiseen. Mac-tietokoneita voidaan myös kehittää. Luomalla tiedoston vanhaan .slk-muotoon Wardle pystyi tekemään Officen suorittamaan makroja ilmoittamatta siitä käyttäjälle. Lisättiin "$" -merkki tiedostonimen alkuun. Se antoi Wardlelle mahdollisuuden paeta macOS-hiekkalaatikosta. Lopuksi Wardle pakasi tiedoston .zip-muodossa Se teki sen tällä tavalla, koska macOS ei tarkista tämäntyyppisiä tiedostoja sertifiointivaatimusten kanssa.

Käyttäjien mielenrauhan vuoksi on korostettava, että sen toteuttaminen on melko vaikeaa joudut vielä todentamaan joitain sisäänkirjautumisen toimintoja. 

Loogisesti Patrick Wardle ilmoitti tästä tietoturvaloukkauksesta sekä Microsoftille että Applelle. Hänen sanojensa mukaan omena-yhtiö ei kuitenkaan vastannut hänelle.


Artikkelin sisältö noudattaa periaatteita toimituksellinen etiikka. Ilmoita virheestä napsauttamalla täällä.

Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.