1892 подписчика
#безопасность #команды #обновления
Уязвимость в приложении Команды позволяет получить доступ к конфиденциальным данным
Apple выпустила обновления для macOS, ipadOS и watchOS, закрывающие уязвимость CVE-2024-23204 в приложении Команды, которая могла использоваться злоумышленниками для кражи личных данных пользователей.
В чем суть уязвимости:
- Используя функцию "Развернуть URL" в Командах, хакеры могли передавать на свой сервер закодированные в base64 фотографии и другие конфиденциальные данные пользователя;
- Для этого достаточно было создать вредоносный шорткат, который при выполнении экспортировал бы эти данные;
- Такой шорткат мог распространяться через различные каналы и попадать к не подозревающим об опасности пользователям;
- По шкале CVSS эта уязвимость получила 7.5 баллов из 10, что говорит о её высокой опасности.
Видео пример использования уязвимости от Bitdefender.
Как защититься от атак, использующих CVE-2024-23204:
- Обновить macOS, iPadOS и iOS до последних версий;
- С осторожностью относиться к выполнению шорткатов из ненадежных источников;
- Регулярно проверять наличие обновлений безопасности от Apple.
Уязвимость актуальна для операционных систем iOS/iPadOS 17.3 и старее, а также macOS Sonoma 14.3 и старее.
Apple устранила эту проблему, добавив дополнительные проверки прав доступа в Командах. Тем не менее, пользователям Apple следует быть бдительными и устанавливать все последние обновления для своих устройств.
1 минута
27 февраля 2024