Apple hari ini disahkan kepada TechCrunch bahawa kemas kini perisian macOS 11.3 yang baru dikeluarkan menambal kelemahan keselamatan yang dilaporkan boleh membenarkan penggodam mengakses data sensitif pengguna dari jauh dengan memperdaya pengguna untuk membuka dokumen palsu.
'Apa yang pengguna perlu lakukan ialah klik dua kali - dan tiada gesaan atau amaran macOS dihasilkan,' kata penyelidik keselamatan Cedric Owens, yang menemui kelemahan itu pada pertengahan Mac, menurut laporan itu. Owens membangunkan aplikasi bukti konsep yang menyamar sebagai dokumen tidak berbahaya yang mengeksploitasi pepijat untuk melancarkan aplikasi Kalkulator, tetapi dia berkata kelemahan itu boleh dieksploitasi untuk tujuan yang lebih jahat.
Menurut penyelidik keselamatan Patrick Wardle, kerentanan itu adalah hasil daripada pepijat logik dalam kod asas macOS.
'Secara ringkasnya, apl macOS bukan satu fail tetapi satu himpunan fail berbeza yang apl perlukan untuk berfungsi, termasuk fail senarai harta benda yang memberitahu aplikasi di mana fail yang bergantung padanya terletak,' jelas TechCrunch . 'Tetapi Owens mendapati bahawa mengeluarkan fail sifat ini dan membina berkas dengan struktur tertentu boleh menipu macOS untuk membuka berkas — dan menjalankan kod di dalamnya — tanpa mencetuskan sebarang amaran.'
Selain membetulkan pepijat dalam macOS 11.3, Apple memberitahu TechCrunch ia menampal versi macOS yang lebih awal untuk mengelakkan penyalahgunaan, dan mengemas kini sistem anti-perisian hasad terbina dalam macOS XProtect untuk menyekat perisian hasad daripada mengeksploitasi kelemahan. Laporan itu mengatakan pepijat itu telah dieksploitasi selama berbulan-bulan, tetapi tidak jelas bilangan pengguna yang terjejas.
Jawatan Popular