Microsoft предупреждает об ошибке конфиденциальности macOS и призывает пользователей обновиться

Microsoft предупредила пользователей Apple macOS о необходимости обновить свои устройства до последнего уровня исправлений после того, как компания обнаружила ошибку в технологии Apple Transparency, Consent and Control (TCC), которая может позволить злоумышленникам установить шпионское ПО.

Так называемая уязвимость «powerdir» (CVE-2021-30970) была обнаружена Microsoft и раскрыта Apple посредством Coordinated Vulnerability Disclosure (CVD) через Microsoft Security Vulnerability Research (MSVR) — Функция контроля.

TCC — это технология, разработанная в 2012 году и предназначенная для предотвращения доступа приложений к личной информации пользователей без их предварительного согласия и ведома.

Мы обнаружили, что можно программно изменить домашний каталог целевого пользователя и внедрить фальшивую базу данных TCC, в которой хранится история согласия на запросы приложений. В случае использования этой уязвимости в неисправленных системах злоумышленник может потенциально организовать атаку на основе защищенных личных данных пользователя. Например, злоумышленник может взломать приложение, установленное на устройстве, или установить свое собственное вредоносное приложение, и получить доступ к микрофону для записи личных разговоров или создания скриншотов конфиденциальной информации, отображаемой на экране пользователя.

Microsoft

Apple выпустила исправление для этой проблемы 13 декабря 2021 года, и Microsoft призывает пользователей macOS установить исправления как можно скорее.