Một lỗ hổng nguy hiểm trong Apple Shorts đã xuất hiện, có thể cho phép kẻ tấn công truy cập vào dữ liệu nhạy cảm trên thiết bị mà không cần người dùng yêu cầu cấp quyền.
Ứng dụng Phím tắt của Apple, được thiết kế cho macOS và iOS, nhằm mục đích tự động hóa các tác vụ. Đối với các doanh nghiệp, nó cho phép người dùng tạo macro để thực hiện các tác vụ cụ thể trên thiết bị của họ, sau đó kết hợp chúng thành quy trình làm việc cho mọi thứ, từ tự động hóa Web đến các chức năng của nhà máy thông minh. Sau đó, những nội dung này có thể được chia sẻ trực tuyến thông qua iCloud và các nền tảng khác với đồng nghiệp và đối tác.
Theo một phân tích từ Bitdefender Hôm nay, lỗ hổng (CVE-2024-23204) có thể tạo ra một tệp Phím tắt độc hại có thể vượt qua khung bảo mật Minh bạch, Đồng ý và Kiểm soát (TCC) của Apple, được cho là để đảm bảo rằng các ứng dụng yêu cầu quyền một cách rõ ràng từ người dùng trước khi truy cập dữ liệu hoặc chức năng nhất định.
Điều đó có nghĩa là khi ai đó thêm một lối tắt độc hại vào thư viện của họ, nó có thể âm thầm lấy cắp thông tin hệ thống và dữ liệu nhạy cảm mà không cần phải yêu cầu người dùng cấp quyền truy cập. Trong quá trình khai thác bằng chứng khái niệm (PoC), các nhà nghiên cứu của Bitdefender sau đó có thể trích xuất dữ liệu trong một tệp hình ảnh được mã hóa.
Báo cáo lưu ý: “Với việc Phím tắt là một tính năng được sử dụng rộng rãi để quản lý tác vụ hiệu quả, lỗ hổng này làm tăng mối lo ngại về việc vô tình phổ biến các phím tắt độc hại thông qua các nền tảng chia sẻ khác nhau”.
Lỗi này là mối đe dọa đối với các thiết bị macOS và iOS chạy phiên bản trước macOS Sonoma 14.3, iOS 17.3 và iPadOS 17.3. Lỗi này được đánh giá 7.5/10 (cao) trên Hệ thống chấm điểm lỗ hổng bảo mật thông thường (CVSS) vì nó có thể khai thác từ xa mà không có đặc quyền cần thiết.
Apple đã vá lỗi này và “chúng tôi kêu gọi người dùng đảm bảo rằng họ đang chạy phiên bản mới nhất của phần mềm Apple Shorts”, Bogdan Botezatu, giám đốc nghiên cứu và báo cáo mối đe dọa tại Bitdefender cho biết.
Lỗ hổng bảo mật của Apple: Phổ biến hơn bao giờ hết
Vào tháng Mười, Accenture đã xuất bản một báo cáo tiết lộ số lượng các tác nhân đe dọa Web đen nhắm vào macOS đã tăng gấp 2019 lần kể từ năm XNUMX - với xu hướng sẽ tiếp tục.
Những phát hiện này trùng hợp với sự xuất hiện của những kẻ đánh cắp thông tin macOS tinh vi được tạo ra để vượt qua khả năng phát hiện tích hợp của Apple. Và các nhà nghiên cứu của Kaspersky Mới phát hiện ra Phần mềm độc hại macOS nhắm mục tiêu vào ví tiền điện tử Bitcoin và Exodus, với phần mềm độc hại thay thế các ứng dụng chính hãng bằng các phiên bản bị xâm nhập.
Các lỗi cũng tiếp tục được phát hiện, giúp việc truy cập ban đầu trở nên dễ dàng hơn. Ví dụ: đầu năm nay, Apple đã sửa lỗ hổng zero-day (CVE-2024-23222) trong Công cụ WebKit của trình duyệt Safari, do lỗi nhầm lẫn loại, trong đó các giả định xác thực đầu vào có thể dẫn đến việc khai thác.
Để tránh những kết quả tồi tệ của Apple nói chung, báo cáo đặc biệt khuyên người dùng nên cập nhật các thiết bị macOS, iPadOS và watchOS lên phiên bản mới nhất, thận trọng khi thực hiện các phím tắt từ các nguồn không đáng tin cậy và thường xuyên kiểm tra các bản cập nhật và bản vá bảo mật từ Apple.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- : có
- :là
- :Ở đâu
- 10
- 14
- 17
- 2019
- 7
- a
- Có khả năng
- Giới thiệu
- truy cập
- truy cập
- ngang qua
- diễn viên
- Thêm
- nhằm vào
- cho phép
- Ngoài ra
- an
- và
- Apple
- Các Ứng Dụng
- ứng dụng
- LÀ
- giả định
- At
- tự động hóa
- Tự động hóa
- tránh
- Bad
- BE
- bởi vì
- trước
- được
- Bitcoin
- trình duyệt
- Bug
- được xây dựng trong
- các doanh nghiệp
- by
- bỏ qua
- CAN
- gây ra
- thận trọng
- nhất định
- kiểm tra
- kết hợp
- Đến
- Chung
- Thỏa hiệp
- Mối quan tâm
- nhầm lẫn
- đồng ý
- tiếp tục
- điều khiển
- có thể
- nghề
- tạo
- tạo ra
- Nguy hiểm
- tối
- Web tối
- dữ liệu
- thiết kế
- Phát hiện
- thiết bị
- Thiết bị (Devices)
- Giám đốc
- khác nhau
- Sớm hơn
- dễ dàng hơn
- hiệu quả
- sự xuất hiện
- mã hóa
- đảm bảo
- lôi
- BAO GIỜ
- tất cả mọi thứ
- thi hành
- Tập thể dục
- Di cư
- rõ ràng
- Khai thác
- khai thác
- khai thác
- Đặc tính
- Tập tin
- phát hiện
- cố định
- Trong
- Khung
- từ
- chức năng
- chức năng
- Tổng Quát
- chính hãng
- được
- Cho
- cấp
- có
- Cao
- HTTPS
- hình ảnh
- in
- thông tin
- ban đầu
- đầu vào
- ví dụ
- trong
- iOS
- iPadOS
- IT
- ITS
- jpg
- Kaspersky
- mới nhất
- dẫn
- Thư viện
- ánh sáng
- hệ điều hành Mac
- macro
- làm cho
- LÀM CHO
- Làm
- độc hại
- phần mềm độc hại
- quản lý
- có nghĩa
- chi tiết
- Không
- lưu ý
- Tháng Mười
- of
- on
- Trực tuyến
- or
- Nền tảng khác
- ra
- kết quả
- Đối tác
- Các bản vá lỗi
- cho phép
- quyền
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- PoC
- sẵn sàng
- có thể
- trước
- đặc quyền
- tăng giá
- rated
- thường xuyên
- từ xa
- báo cáo
- Báo cáo
- yêu cầu
- cần phải
- nghiên cứu
- nhà nghiên cứu
- để lộ
- Tăng lên
- chạy
- s
- nói
- ghi bàn
- an ninh
- nhạy cảm
- chia sẻ
- chia sẻ
- kể từ khi
- Phần mềm
- Một người nào đó
- nguồn
- riêng
- Được tài trợ
- mạnh mẽ
- phải
- chắc chắn
- hệ thống
- hệ thống
- nhắm mục tiêu
- Nhiệm vụ
- nhiệm vụ
- việc này
- Sản phẩm
- trộm cắp
- cung cấp their dịch
- Them
- sau đó
- Kia là
- họ
- điều này
- năm nay
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- đến
- bây giờ
- Minh bạch
- khuynh hướng
- kiểu
- Cập nhật
- Cập nhật
- thúc giục
- đã sử dụng
- người sử dang
- Người sử dụng
- xác nhận
- phiên bản
- phiên bản
- Lỗ hổng
- dễ bị tổn thương
- we
- web
- bộ web
- là
- khi nào
- cái nào
- rộng rãi
- với
- không có
- Luồng công việc
- sẽ
- năm
- zephyrnet