MacBook của bạn rất dễ bị tấn công với mức độ nghiêm trọng cao này - Bài đánh giáExpert.net

Anonim

Chủ sở hữu MacBook, hãy lưu ý: máy tính xách tay của bạn có thể không được bảo vệ khỏi các cuộc tấn công độc hại.

Các nhà nghiên cứu bảo mật trong nhóm Project Zero của Google hôm nay đã tiết lộ một lỗ hổng "mức độ nghiêm trọng cao" trong hệ điều hành máy tính để bàn macOS của Apple. Lỗ hổng trong hệ thống phòng thủ của macOS có thể cho phép kẻ tấn công khai thác hệ thống mà nạn nhân không biết về nó.

Lỗ hổng zero-day bắt nguồn từ copy-on-write, một quy trình được phép của hạt nhân XNU của Apple, hoạt động với bộ nhớ ẩn danh và ánh xạ tệp. Theo một bài đăng của Google trên Monorail, bộ nhớ được sao chép trên macOS không được bảo vệ thích hợp trước các sửa đổi, do đó, quá trình sao chép-ghi có thể bị lợi dụng để sao chép mã nguy hiểm tiềm ẩn.

Các nhà nghiên cứu của Google viết: "Điều này có nghĩa là nếu kẻ tấn công có thể thay đổi tệp trên đĩa mà không thông báo cho hệ thống con quản lý ảo, thì đây là một lỗi bảo mật".

Google đã thông báo cho Apple về lỗ hổng này vào tháng 11 năm 2022-2023 nhưng gã khổng lồ Cupertino đã không phát hành bản vá trước khi hết thời hạn 90 ngày. Các chuyên gia bảo mật mô tả lỗ hổng bảo mật là "mức độ nghiêm trọng cao".

Các nhà nghiên cứu viết: “Chúng tôi đã liên hệ với Apple về vấn đề này và tại thời điểm này, vẫn chưa có bản sửa lỗi nào. "Apple đang có ý định giải quyết vấn đề này trong một bản phát hành trong tương lai và chúng tôi đang làm việc cùng nhau để đánh giá các tùy chọn cho bản vá. Chúng tôi sẽ cập nhật mục theo dõi vấn đề này khi chúng tôi có thêm chi tiết."

Không rõ có bao nhiêu hệ thống, nếu có, đã bị ảnh hưởng bởi lỗ hổng này. Ngoài các hành động tiêu chuẩn mà người ta có thể thực hiện để bảo vệ máy tính xách tay của mình, người dùng MacBook chỉ có thể tin rằng bản cập nhật sẽ sớm có bản sửa lỗi.

Nếu Project Zero của Google nghe có vẻ quen thuộc, đó là bởi vì nhóm các nhà nghiên cứu này đã có công trong việc phát hiện ra cuộc tấn công bảo mật Meltdown vào đầu năm ngoái.

Chúng tôi đã liên hệ với Apple về lỗ hổng copy-on-write và sẽ cập nhật bài đăng này nếu chúng tôi nhận được phản hồi.