Apple ショートカットの危険な脆弱性が表面化しました。この脆弱性により、攻撃者がユーザーに権限の付与を求められずにデバイス全体の機密データにアクセスできるようになる可能性があります。
Apple のショートカット アプリケーションは、macOS および iOS 向けに設計されており、タスクの自動化を目的としています。ビジネスの場合、ユーザーはデバイス上で特定のタスクを実行するためのマクロを作成し、Web オートメーションからスマート ファクトリー機能に至るまで、あらゆるワークフローにそれらを組み合わせることができます。これらは、iCloud やその他のプラットフォームを通じてオンラインで同僚やパートナーと共有できます。
によると、 Bitdefender による分析 本日公開された脆弱性 (CVE-2024-23204) により、アプリが明示的に許可を要求することを保証する Apple の透明性、同意、および制御 (TCC) セキュリティ フレームワークをバイパスできる悪意のあるショートカット ファイルが作成されることが可能になります。特定のデータまたは機能にアクセスする前に、ユーザーからの通知を受け取ります。
つまり、誰かがライブラリに悪意のあるショートカットを追加すると、ユーザーにアクセス許可を与えることなく、機密データやシステム情報が静かに盗まれる可能性があります。 Bitdefender の研究者は、概念実証 (PoC) エクスプロイトで、暗号化されたイメージ ファイル内のデータを抜き出すことができました。
「ショートカットは効率的なタスク管理のために広く使用されている機能であるため、この脆弱性により、さまざまな共有プラットフォームを通じて悪意のあるショートカットが不用意に拡散するという懸念が生じます」と報告書は指摘しています。
このバグは、macOS Sonoma 14.3、iOS 17.3、iPadOS 17.3 より前のバージョンを実行している macOS および iOS デバイスに対する脅威であり、Common Vulnerability Scoring System (CVSS) では 7.5 段階中 10 (高) と評価されています。必要な権限を持たずにリモートから悪用される。
Apple はこのバグを修正しており、「Apple ショートカット ソフトウェアの最新バージョンを実行していることを確認するようユーザーに呼びかけています」と Bitdefender の脅威調査およびレポート担当ディレクターの Bogdan Botezatu 氏は述べています。
Apple のセキュリティ脆弱性: ますます一般的になる
10月には、 アクセンチュアが公開 レポートによると、2019 年以降、macOS をターゲットとするダークウェブの脅威アクターが XNUMX 倍に増加しており、この傾向は今後も続く見込みです。
この発見は、 洗練された macOS 情報窃盗犯 Apple の組み込み検出をバイパスするために作成されました。そしてカスペルスキーの研究者 最近発見された ビットコインとエクソダスの暗号ウォレットをターゲットとする macOS マルウェア。この悪意のあるソフトウェアは、正規のアプリを侵害されたバージョンに置き換えます。
バグも引き続き明らかになり、初期アクセスが容易になります。たとえば、今年初めに Apple は、ゼロデイ脆弱性 (CVE-2024-23222) を修正しました。 SafariブラウザのWebKitエンジン、型の混乱エラーが原因で発生し、入力検証の前提が悪用につながる可能性があります。
一般的にAppleの悪い結果を避けるために、レポートではユーザーに対し、macOS、iPadOS、watchOSデバイスを最新バージョンにアップデートし、信頼できないソースからのショートカットを実行する際には注意し、Appleからのセキュリティアップデートやパッチを定期的にチェックするよう強く勧めている。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- :持っている
- :は
- :どこ
- 10
- 14
- 17
- 2019
- 7
- a
- できる
- 私たちについて
- アクセス
- アクセス
- 越えて
- 俳優
- 追加
- 目的としました
- ことができます
- また
- an
- および
- Apple
- 申し込み
- アプリ
- です
- 前提条件
- At
- 自動化する
- オートメーション
- 避ける
- 悪い
- BE
- なぜなら
- さ
- Bitcoin
- ブラウザ
- バグ
- 内蔵
- ビジネス
- by
- 缶
- 生じました
- 注意
- 一定
- チェック
- 組み合わせる
- 来ます
- コマンドと
- 損害を受けた
- 懸念事項
- 混乱
- 同意
- 続ける
- コントロール
- 可能性
- クラフト
- 作ります
- 作成した
- 危険な
- 暗いです
- ダークウェブ
- データ
- 設計
- 検出
- デバイス
- Devices
- 取締役
- 異なる
- 前
- 容易
- 効率的な
- 出現
- では使用できません
- 確保
- エラー
- EVER
- すべてのもの
- 実行
- 運動
- 出エジプト記
- 明示的
- 悪用する
- 搾取
- 搾取
- 特徴
- File
- 調査結果
- 固定の
- フレームワーク
- から
- 機能性
- 機能
- 本物の
- 取得する
- 与える
- 助成金
- 持って
- ハイ
- HTTPS
- 画像
- in
- 情報
- 初期
- に
- iOS
- iPadOS
- IT
- ITS
- JPG
- カスペルスキー
- 最新の
- つながる
- 図書館
- 光
- MacOSの
- マクロ
- make
- 作る
- 作成
- 悪意のある
- マルウェア
- 管理
- 手段
- 他には?
- いいえ
- 注意
- 10月
- of
- on
- オンライン
- or
- その他
- でる
- 成果
- パートナー
- パッチ
- 許可
- パーミッション
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- PoC
- 態勢を整えた
- 可能
- 先行
- 特権
- 提起
- 定格の
- 定期的に
- リモートから
- レポート
- 各種レポート作成
- 要求
- の提出が必要です
- 研究
- 研究者
- 明らかにする
- 上昇
- ランニング
- s
- 言う
- 得点
- セキュリティ
- 敏感な
- shared
- シェアリング
- から
- ソフトウェア
- 誰か
- ソース
- 特定の
- スポンサー
- 強く
- 想定
- 確か
- システム
- ターゲット
- 仕事
- タスク
- それ
- 盗難
- アプリ環境に合わせて
- それら
- その後
- ボーマン
- 彼ら
- この
- 今年
- 脅威
- 脅威アクター
- 介して
- 〜へ
- 今日
- 透明性
- トレンド
- type
- アップデイト
- 更新版
- 促します
- 中古
- ユーザー
- users
- バージョン
- バージョン
- 脆弱性
- 脆弱性
- we
- ウェブ
- ウェブキット
- した
- いつ
- which
- 広く
- 無し
- ワークフロー
- でしょう
- 年
- ゼファーネット