Výzkumní pracovníci Symantec odrážel nové objevy zranitelnosti ovlivňující operační systémy Operační systém Mac OS X a ios z ManzanaTo by mohlo útočníkům umožnit krást hesla a další přihlašovací údaje, pokud budou úspěšně zneužity. zranitelnosti Byly objeveny výzkumným týmem z Indiana University, který zjistil, že čtyři chyby zabezpečení mohou škodlivé aplikaci umožnit obejít bezpečnostní kontroly a ukrást důvěrné informace z jiných aplikací. Bezpečnostní chyby, Manzana V říjnu 2014 společnost záplaty. I když byly některé chyby opraveny, většina chyb zabezpečení zůstává neopravena.
Každá aplikace nainstalována prostřednictvím Mac App Store a iOS App Store Apple je v počítači uchováván v zabezpečeném kontejneru známém jako karanténa. Tyto aplikace mají omezená oprávnění a uživatel musí mít výslovné oprávnění, pokud potřebuje získat přístup k dalším zdrojům mimo svůj kontejner. Výzkumníci, tito čtyři zranitelnosti Je povolen neoprávněný přístup, známý jako útoky na prostředky mezi aplikacemi (XARA). Čtyři chyby zabezpečení jsou:
jeden. Chyba zabezpečení proti krádeži hesla. Operační systémy Manzana Má funkci bezpečného ukládání hesel známou jako Keychain, která uživateli umožňuje ukládat a načítat hesla pro různé online aplikace a služby. První zranitelnost je škodlivá aplikace vytvořit klíčenku pro jinou aplikaci. Pokud konkrétní aplikace není v počítači k dispozici a uživatel si ji nainstaluje později, pověření se uloží do klíčenky generované škodlivou aplikací. Pokud je aplikace již nainstalována, může škodlivá aplikace odstranit stávající klíčenku a vytvořit novou, aby uživatel mohl při příštím přístupu ke konkrétní aplikaci znovu zadat své přihlašovací údaje.
dva. Zranitelnost praskání pískoviště. Druhá chyba zabezpečení by mohla umožnit škodlivé aplikaci přístup a odcizení dat ze zabezpečeného kontejneru patřícího jiné aplikaci.
3. Intervence zranitelnosti komunikace mezi procesy (IPC). V této chybě zabezpečení obsahují kanály IPC mezi aplikacemi v systému Mac OS X a dalšími platformami, jako je WebSocket, chyby, které odhalují důležité informace. Například WebSocket se používá k navázání spojení mezi serverem a klientem. Jeden škodlivá aplikace Může načíst port používaný legitimní aplikací a zachytit pro ni určená data, například hesla nebo jiné citlivé informace.
Čtyři. Zranitelnost únosu schématu. Čtvrtá chyba zabezpečení se týká implementace schémat URL používaných k předávání dat do jiné aplikace. Například adresy URL začínající řetězcem „mailto“ přesměrovávají data do aplikace Mail. Tato chyba zabezpečení umožňuje škodlivé aplikaci unést plán, což znamená, že data odeslaná do cílové aplikace budou načtena jinde. To může usnadnit krádež přístupových tokenů a dalších informací.
Nestalo se útoky je známo, že je využívá zranitelnosti. Ale jak se rozšířila zpráva o jeho existenci, Symantec věří, že útočníci je pravděpodobně začnou využívat. Uživatelé Mac OS X a ios Aplikujte aktualizace zabezpečení vydané společností Apple, jakmile budou k dispozici, a mezitím buďte při instalaci nového softwaru opatrní a vybírejte produkty od důvěryhodných dodavatelů.
