พบช่องโหว่ที่เป็นอันตรายในคำสั่งลัดของ Apple ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนทั่วทั้งอุปกรณ์โดยที่ผู้ใช้ไม่ต้องขออนุญาต
แอปพลิเคชันทางลัดของ Apple ที่ออกแบบมาสำหรับ macOS และ iOS มีวัตถุประสงค์เพื่อทำให้งานเป็นแบบอัตโนมัติ สำหรับธุรกิจ จะอนุญาตให้ผู้ใช้สร้างมาโครเพื่อดำเนินงานเฉพาะบนอุปกรณ์ของตน จากนั้นรวมเข้ากับเวิร์กโฟลว์สำหรับทุกสิ่งตั้งแต่ระบบอัตโนมัติบนเว็บไปจนถึงฟังก์ชันโรงงานอัจฉริยะ จากนั้นจะสามารถแชร์ข้อมูลเหล่านี้ทางออนไลน์ผ่าน iCloud และแพลตฟอร์มอื่นๆ กับเพื่อนร่วมงานและพันธมิตรได้
ตามที่ การวิเคราะห์จาก Bitdefender ในปัจจุบัน ช่องโหว่ (CVE-2024-23204) ทำให้สามารถสร้างไฟล์ทางลัดที่เป็นอันตราย ซึ่งสามารถข้ามเฟรมเวิร์กความปลอดภัยของความโปร่งใส ความยินยอม และการควบคุม (TCC) ของ Apple ซึ่งควรจะทำให้แน่ใจว่าแอปร้องขอการอนุญาตอย่างชัดเจน จากผู้ใช้ก่อนที่จะเข้าถึงข้อมูลหรือฟังก์ชันบางอย่าง
นั่นหมายความว่าเมื่อมีคนเพิ่มทางลัดที่เป็นอันตรายลงในไลบรารีของตน ทางลัดนั้นสามารถขโมยข้อมูลที่ละเอียดอ่อนและข้อมูลระบบโดยไม่ต้องให้ผู้ใช้ให้สิทธิ์ในการเข้าถึง ในการใช้ประโยชน์จาก Proof-of-Concept (PoC) นักวิจัยของ Bitdefender ก็สามารถขโมยข้อมูลในไฟล์ภาพที่เข้ารหัสได้
“เนื่องจากทางลัดเป็นคุณสมบัติที่ใช้กันอย่างแพร่หลายสำหรับการจัดการงานที่มีประสิทธิภาพ ช่องโหว่ทำให้เกิดความกังวลเกี่ยวกับการเผยแพร่ทางลัดที่เป็นอันตรายโดยไม่ได้ตั้งใจผ่านแพลตฟอร์มการแบ่งปันที่หลากหลาย” รายงานระบุ
จุดบกพร่องนี้เป็นภัยคุกคามต่ออุปกรณ์ macOS และ iOS ที่ใช้งานเวอร์ชันก่อนหน้า macOS Sonoma 14.3, iOS 17.3 และ iPadOS 17.3 และได้รับการจัดอันดับ 7.5 จากคะแนนเต็ม 10 ที่เป็นไปได้ (สูง) บน Common Vulnerability Scoring System (CVSS) เนื่องจากสามารถ ใช้ประโยชน์จากระยะไกลโดยไม่มีสิทธิ์ที่จำเป็น
Apple ได้แก้ไขข้อบกพร่องแล้ว และ "เราขอแนะนำให้ผู้ใช้ตรวจสอบให้แน่ใจว่าพวกเขากำลังใช้งานซอฟต์แวร์ Apple Shortcuts เวอร์ชันล่าสุด" Bogdan Botezatu ผู้อำนวยการฝ่ายวิจัยภัยคุกคามและการรายงานของ Bitdefender กล่าว
ช่องโหว่ด้านความปลอดภัยของ Apple: พบบ่อยมากขึ้น
ในเดือนตุลาคม เผยแพร่แอคเซนเจอร์แล้ว รายงานเผยให้เห็นผู้คุกคาม Dark Web ที่กำหนดเป้าหมายไปที่ macOS เพิ่มขึ้นสิบเท่าตั้งแต่ปี 2019 โดยมีแนวโน้มว่าจะดำเนินต่อไป
การค้นพบนี้เกิดขึ้นพร้อมกับการเกิดขึ้นของ ผู้ขโมยข้อมูล macOS ที่ซับซ้อน สร้างขึ้นเพื่อหลีกเลี่ยงการตรวจจับในตัวของ Apple และนักวิจัยของแคสเปอร์สกี้ เพิ่งค้นพบ มัลแวร์ macOS กำหนดเป้าหมายกระเป๋าสตางค์ Bitcoin และ Exodus โดยซอฟต์แวร์ที่เป็นอันตรายจะแทนที่แอปของแท้ด้วยเวอร์ชันที่ถูกบุกรุก
จุดบกพร่องยังคงปรากฏให้เห็นอย่างต่อเนื่อง ทำให้เข้าถึงได้ง่ายขึ้น ตัวอย่างเช่น เมื่อต้นปีนี้ Apple ได้แก้ไขช่องโหว่แบบ Zero-day (CVE-2024-23222) ใน เอ็นจิ้น WebKit ของเบราว์เซอร์ Safariเกิดจากข้อผิดพลาดเกี่ยวกับความสับสนประเภท ซึ่งสมมติฐานในการตรวจสอบอินพุตอาจนำไปสู่การใช้ประโยชน์
เพื่อหลีกเลี่ยงผลลัพธ์ที่ไม่ดีของ Apple โดยทั่วไป รายงานแนะนำอย่างยิ่งให้ผู้ใช้อัปเดตอุปกรณ์ macOS, iPadOS และ watchOS เป็นเวอร์ชันล่าสุด ใช้ความระมัดระวังเมื่อเรียกใช้คำสั่งลัดจากแหล่งที่ไม่น่าเชื่อถือ และตรวจสอบการอัปเดตและแพตช์ด้านความปลอดภัยจาก Apple เป็นประจำ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- :มี
- :เป็น
- :ที่ไหน
- 10
- 14
- 17
- 2019
- 7
- a
- สามารถ
- เกี่ยวกับเรา
- เข้า
- การเข้าถึง
- ข้าม
- นักแสดง
- เพิ่ม
- มีวัตถุประสงค์เพื่อ
- ช่วยให้
- ด้วย
- an
- และ
- Apple
- การใช้งาน
- ปพลิเคชัน
- เป็น
- สมมติฐาน
- At
- โดยอัตโนมัติ
- อัตโนมัติ
- หลีกเลี่ยง
- ไม่ดี
- BE
- เพราะ
- ก่อน
- กำลัง
- Bitcoin
- เบราว์เซอร์
- Bug
- built-in
- ธุรกิจ
- by
- ทางอ้อม
- CAN
- ที่เกิดจาก
- ความระมัดระวัง
- บาง
- ตรวจสอบ
- รวมกัน
- อย่างไร
- ร่วมกัน
- ที่ถูกบุกรุก
- ความกังวลเกี่ยวกับ
- ความสับสน
- ความยินยอม
- ต่อ
- ควบคุม
- ได้
- หัตถกรรม
- สร้าง
- ที่สร้างขึ้น
- Dangerous
- มืด
- Dark Web
- ข้อมูล
- ได้รับการออกแบบ
- การตรวจพบ
- เครื่อง
- อุปกรณ์
- ผู้อำนวยการ
- หลาย
- ก่อน
- ง่ายดาย
- ที่มีประสิทธิภาพ
- ภาวะฉุกเฉิน
- ที่มีการเข้ารหัส
- ทำให้มั่นใจ
- ความผิดพลาด
- เคย
- ทุกอย่าง
- การดำเนินงาน
- การออกกำลังกาย
- พระธรรม
- อย่างชัดเจน
- เอาเปรียบ
- การแสวงหาผลประโยชน์
- ใช้ประโยชน์
- ลักษณะ
- เนื้อไม่มีมัน
- ผลการวิจัย
- การแก้ไข
- สำหรับ
- กรอบ
- ราคาเริ่มต้นที่
- ฟังก์ชันการทำงาน
- ฟังก์ชั่น
- General
- แท้
- ได้รับ
- ให้
- ให้
- มี
- จุดสูง
- HTTPS
- ภาพ
- in
- ข้อมูล
- แรกเริ่ม
- อินพุต
- ตัวอย่าง
- เข้าไป
- iOS
- iPadOS
- IT
- ITS
- jpg
- Kaspersky
- ล่าสุด
- นำ
- ห้องสมุด
- เบา
- MacOS
- แมโคร
- ทำ
- ทำให้
- การทำ
- ที่เป็นอันตราย
- มัลแวร์
- การจัดการ
- วิธี
- ข้อมูลเพิ่มเติม
- ไม่
- เด่น
- ตุลาคม
- of
- on
- ออนไลน์
- or
- อื่นๆ
- ออก
- ผลลัพธ์
- พาร์ทเนอร์
- แพทช์
- การอนุญาต
- สิทธิ์
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- PoC
- ซึ่งทรงตัว
- เป็นไปได้
- มาก่อน
- สิทธิ์
- ยก
- การจัดอันดับ
- สม่ำเสมอ
- จากระยะไกล
- รายงาน
- การรายงาน
- ขอ
- จำเป็นต้องใช้
- การวิจัย
- นักวิจัย
- เผยให้เห็น
- ขึ้น
- วิ่ง
- s
- พูดว่า
- คะแนน
- ความปลอดภัย
- มีความละเอียดอ่อน
- ที่ใช้ร่วมกัน
- ใช้งานร่วมกัน
- ตั้งแต่
- ซอฟต์แวร์
- บางคน
- แหล่งที่มา
- โดยเฉพาะ
- ผู้ให้การสนับสนุน
- เสถียร
- ควร
- แน่ใจ
- ระบบ
- ระบบ
- กำหนดเป้าหมาย
- งาน
- งาน
- ที่
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- พวกเขา
- แล้วก็
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- นี้
- ในปีนี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ตลอด
- ไปยัง
- ในวันนี้
- ความโปร่งใส
- เทรนด์
- ชนิด
- บันทึก
- การปรับปรุง
- การแนะนำ
- มือสอง
- ผู้ใช้งาน
- ผู้ใช้
- การตรวจสอบ
- รุ่น
- รุ่น
- ช่องโหว่
- ความอ่อนแอ
- we
- เว็บ
- เว็บคิท
- คือ
- เมื่อ
- ที่
- อย่างกว้างขวาง
- กับ
- ไม่มี
- ขั้นตอนการทำงาน
- จะ
- ปี
- ลมทะเล