اكتشف فريق Project Zero التابع لشركة Google في نوفمبر وجود عيب في macOS kernel 'شديد الخطورة' تم الكشف عنها مؤخرا (عبر نيووين ) بعد انتهاء مهلة الإفصاح البالغة 90 يومًا.
هل تفاحة تقدم تخفيضات الجمعة السوداء
كما أوضحت Google ، فإن الخلل يسمح للمهاجم بتعديل صورة نظام ملفات مملوك للمستخدم دون إبلاغ نظام الإدارة الفرعي الافتراضي بالتغييرات ، مما يعني أن المتسلل يمكنه تعديل صورة نظام الملفات دون معرفة المستخدم.
لا يعمل سلوك النسخ عند الكتابة هذا فقط مع الذاكرة المجهولة ، ولكن أيضًا مع تعيينات الملفات. هذا يعني أنه بعد أن بدأت عملية الوجهة القراءة من منطقة الذاكرة المنقولة ، يمكن أن يتسبب ضغط الذاكرة في إخراج الصفحات التي تحتوي على الذاكرة المنقولة من ذاكرة التخزين المؤقت للصفحة. في وقت لاحق ، عندما تكون هناك حاجة إلى الصفحات التي تم إخلاؤها مرة أخرى ، يمكن إعادة تحميلها من نظام ملفات النسخ.
هذا يعني أنه إذا تمكن المهاجم من تحويل ملف على القرص دون إبلاغ النظام الفرعي للإدارة الظاهرية ، فهذا خطأ أمني. يسمح MacOS للمستخدمين العاديين بتحميل صور نظام الملفات. عندما يتم تحوير صورة نظام ملفات مثبتة بشكل مباشر (على سبيل المثال عن طريق استدعاء pwrite () على صورة نظام الملفات) ، لا يتم نشر هذه المعلومات في نظام الملفات الموصول.
وفقًا لـ Google ، لم تقم Apple بإصلاح هذه المشكلة بعد. ومع ذلك ، تخطط Apple لتنفيذ إصلاح في تحديث برنامج قادم.
في أي عام تم إصدار iPhone x
لقد كنا على اتصال بشركة Apple بخصوص هذه المشكلة ، ولا يتوفر حل في هذه المرحلة. تنوي Apple حل هذه المشكلة في إصدار مستقبلي ، ونحن نعمل معًا لتقييم خيارات التصحيح. سنقوم بتحديث إدخال تعقب المشكلة هذا بمجرد حصولنا على مزيد من التفاصيل.
أصدرت Google تفاصيل الخطأ دون إصلاح من Apple بسبب سياسات Project Zero الخاصة بها. بعد اكتشاف ثغرة أمنية ، يوفر Project Zero تفاصيل للشركة التي تصنع البرنامج ، ويمنحها 90 يومًا لإصلاحها قبل الكشف عنها.
شاحن لاسلكي 3 في 1 من بلكين
تقوم Google بعد ذلك بمشاركة تفاصيل حول الثغرات الأمنية عند إصلاح الخلل أو عند انتهاء مهلة التسعين يومًا. تم إبلاغ شركة Apple بالخطأ في نوفمبر ، وانقضت فترة 90 يومًا دون إصلاح.
يجب على مستخدمي Mac ، كما هو الحال دائمًا ، أن يكونوا حذرين من الملفات التي يقومون بتنزيلها لتجنب مثل هذه الهجمات ، مع التأكد من تنزيل الملفات من المواقع الموثوقة فقط. من غير المعروف ما إذا كان هذا خطأ يسهل استغلاله ، لكن Google صنفته على أنه خطير لأنه لديه القدرة على تجاوز إجراءات حماية macOS.
المشاركات الشعبية