Уязвимость macOS через Office, исправленная в последней версии для macOS 10.15.3

офис для macOS

Прошлая среда, Патрик Уордл предупредил и показал уязвимость в macOS, к которой можно было получить доступ через программу Office. В частности, к этому эксплойту обращаются через макросы программы редактирования текста. Макрос можно определить как серию команд и инструкций, которые сгруппированы вместе в одну команду для автоматического выполнения задачи. К счастью, проблема уже решена в последней версии Office для macOS 10.15.3.

Патрик Уордл, Инженер по безопасности Джамфа и бывший хакер из АНБ, специализирующийся на поиске и обнаружении уязвимостей в macOS, показал в прошлую среду на конференции «Black Hat» и через свой блог, поскольку доступ к конфиденциальным данным Mac можно получить с помощью макросов, выполняемых в Office. Несмотря на то что это довольно сложно выполнить и выполнить этот подвиг, его можно достичь, и как только он покажет, что нет ничего неприступного.

Макросы Office много раз использовались для доступа к уязвимостям компьютеров Windows. Также можно разрабатывать Mac. Создав файл в старом формате .slk, Уордл смог заставить Office запускать макросы без предупреждения пользователя. В начало имени файла добавлен символ «$». Это позволило Уордлу выйти из песочницы macOS. Наконец, Уордл сжал файл в формате .zip. Это произошло потому, что macOS не проверяет эти типы файлов на соответствие требованиям сертификации.

Для спокойствия пользователей необходимо подчеркнуть, что это довольно сложный для выполнения эксплойт и что вам все еще нужно аутентифицировать некоторые действия при входе в систему. 

Логически Патрик Уордл сообщил об этом нарушении безопасности как в Microsoft, так и в Apple. Однако, по его словам, яблочная компания ему не ответила.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.