A macOS biztonsági rése az Office-on keresztül, a macOS 10.15.3 legújabb verziójával javítva

iroda a macOS számára

Múlt szerdán, Patrick Wardle figyelmeztetett és mutatott egy sebezhetőséget a macOS-ban, amely az Office programon keresztül érhető el. Pontosabban, ez a kihasználás elérhető a szövegszerkesztő program makrókon keresztül. A makró meghatározható parancsok és utasítások sorozataként, amelyeket ugyanazon parancsként csoportosítanak a feladat automatikus végrehajtásához. Szerencsére a problémát már javították az Office for MacOS 10.15.3 legújabb verziójával

Patrick Wardle, Jamf biztonsági mérnöke és az NSA volt hackere, aki a sebezhetőségek keresésére és felkutatására specializálódott a macOS-ban, múlt szerdán mutatta be a „Black Hat” konferencián blogján keresztül, mivel az érzékeny Mac-adatok az Office-ban végrehajtott makrókon keresztül érhetők el. Habár elég nehéz előadni és hajtsa végre ezt a kiaknázást, el lehet érni, és ha egyszer kiderül, hogy nincs semmi bevehetetlen.

Az Office makrókat sokszor használták a Windows számítógépek sebezhetőségének elérésére. Mac-ek is fejleszthetők. Egy régi .slk formátumú fájl létrehozásával Wardle képes volt az Office-t makrók futtatására a felhasználó figyelmeztetése nélkül. Hozzáadott egy "$" karaktert a fájlnév elejéhez. Ez lehetővé tette Wardle-t meneküljön a macOS homokozóból. Végül Wardle .zip formátumban tömörítette a fájlt Azért tette ezt így, mert a macOS nem ellenőrzi az ilyen típusú fájlokat a tanúsítási követelményekkel.

A felhasználók nyugalma érdekében hangsúlyozni kell, hogy végrehajtása meglehetősen nehéz akkor is hitelesítenie kell néhány műveletet a bejelentkezéskor. 

Logikusan Patrick Wardle jelentette ezt a biztonsági megsértést a Microsoftnak és az Apple-nek egyaránt. Szavai szerint azonban az almatársaság nem válaszolt neki.


A cikk tartalma betartja a szerkesztői etika. A hiba bejelentéséhez kattintson a gombra itt.

Legyen Ön az első hozzászóló

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.