Apple устранила уязвимость обхода Mac Gatekeeper

Серьезная уязвимость обхода Mac Gatekeeper была устранена Apple после того, как она была обнаружена и сообщена исследователями безопасности в Microsoft.

Уязвимость позволяла вредоносным программам обходить проверки гейткипера. Примечательно, что уязвимость затронула даже компьютеры Mac, работающие в сверхбезопасном режиме блокировки…

Привратник

Gatekeeper — это функция безопасности, встроенная в macOS. Когда вы пытаетесь запустить новое приложение для Mac в первый раз, Gatekeeper проверяет, было ли оно нотариально заверено Apple как исходное от признанного разработчика.

Пользователь может выбрать три настройки гейткипера:

Разрешить только приложения, загруженные из Mac App Store. Также разрешить приложения, подписанные сертифицированными разработчиками Apple. Разрешить все приложения.

(Текущая и последние версии macOS скрывают третий вариант, чтобы его нельзя было выбрать случайно.)

Когда новое приложение загружается из Интернета, файлу присваивается атрибут com.apple.quarantine, который является сигналом для гейткипера проверить его при открытии.

Уязвимость обхода Mac Gatekeeper

Bleeping Computer сообщает, что уязвимость macOS позволила злоумышленнику предотвратить присвоение файлу атрибута com.apple.quarantine, что означает, что при открытии он не будет запускать проверку гейткипера.

Уязвимость Achilles позволяет специально созданным полезным нагрузкам злоупотреблять логической проблемой, чтобы установить ограничительные разрешения списка управления доступом (ACL), которые блокируют веб-браузеры и загрузчики из Интернета от установки атрибута com.apple.quarantine для загружаемых полезных данных, заархивированных в виде ZIP-файлов.

В результате вредоносное приложение, содержащееся в заархивированной вредоносной полезной нагрузке, запускается в системе цели, а не блокируется гейткипером, что позволяет злоумышленникам загружать и развертывать вредоносное ПО.

Примечательно, что режим блокировки не защитил от уязвимости.

Microsoft заявила в понедельник, что «режим блокировки Apple, представленный в macOS Ventura в качестве дополнительной функции защиты для пользователей с высоким уровнем риска, которые могут лично стать мишенью изощренной кибератаки, направлен на остановку эксплойтов удаленного выполнения кода без щелчка и, следовательно, не защищаться от Ахиллеса».

Как всегда, рекомендуется постоянно обновлять ваш Mac и другие устройства Apple. Если вы не хотите обновляться до Ventura, Apple предлагает обновить до последней (и наиболее безопасной) версии более ранних macOS.

В настоящее время Apple тестирует новую функцию Rapid Security Response для устройств Mac и iOS, которая позволит быстро исправлять подобные уязвимости без необходимости полного обновления ОС.

Фото: Ян Влачуха/Unsplash