MacBook -omistajat, ota huomioon: kannettavaa tietokonettasi ei ehkä ole suojattu haitallisilta hyökkäyksiltä.
Googlen Project Zero -tiimin tietoturvatutkijat paljastivat tänään "erittäin vakavan" haavoittuvuuden Applen macOS-työpöytäkäyttöjärjestelmässä. MacOSin puolustuksessa oleva aukko voi antaa hyökkääjän käyttää hyväkseen järjestelmää ilman, että uhri tietää siitä.
Nollapäiväinen haavoittuvuus johtuu kopiointi-kirjoittamisesta, joka on Applen XNU-ytimen sallima prosessi, joka toimii nimettömän muistin ja tiedostojen kartoituksen kanssa. Googlen Monorail-viestin mukaan MacOS-laitteeseen kopioitavaa muistia ei ole suojattu asianmukaisesti muutoksia vastaan, joten kopiointi-kirjoitus -prosessia voidaan hyödyntää mahdollisesti vaarallisen koodin kopioimiseen.
"Tämä tarkoittaa sitä, että jos hyökkääjä voi mutatoida levytiedoston ilmoittamatta siitä virtuaalisen hallinnan osajärjestelmälle, tämä on tietoturvavika", Googlen tutkijat kirjoittivat.
Google ilmoitti Applelle virheestä marraskuussa 2022-2023–2022, mutta Cupertino-jättiläinen ei julkaissut korjaustiedostoa ennen 90 päivän määräajan päättymistä. Turvallisuusasiantuntijat kuvaavat haavoittuvuutta erittäin vakavaksi.
"Olemme olleet yhteydessä Applen kanssa tästä ongelmasta, eikä tässä vaiheessa ole korjausta saatavilla", tutkijat kirjoittivat. "Apple aikoo ratkaista tämän ongelman tulevassa julkaisussa, ja arvioimme yhdessä korjausvaihtoehtoja. Päivitämme tämän ongelmanseurannan, kun meillä on lisätietoja."
Ei ole selvää, kuinka moniin järjestelmiin vika on vaikuttanut. Lukuun ottamatta vakiotoimenpiteitä, joita voidaan tehdä kannettavan tietokoneen suojaamiseksi, MacBookin käyttäjät voivat vain peukalot ristiin, että päivitys saapuu pian korjauksella.
Jos Googlen Project Zero kuulostaa tutulta, se johtuu siitä, että tämä tutkijaryhmä auttoi löytämään Meltdown -tietoturvahyökkäyksen viime vuoden alussa.
Olemme ottaneet yhteyttä Appleen kopioinnin ja kirjoittamisen haavoittuvuudesta ja päivitämme tämän viestin, jos kuulemme takaisin.