Het Project Zero-team van Google vond in november een 'zeer ernstige' macOS-kernelfout die onlangs onthuld (via Neowin ) na het verstrijken van een openbaarmakingstermijn van 90 dagen.
verschil tussen Apple Watch 6 en 5
Zoals uitgelegd door Google, stelt de fout een aanvaller in staat om een door de gebruiker aangekoppelde afbeelding van het bestandssysteem te wijzigen zonder het virtuele beheersubsysteem van de wijzigingen op de hoogte te stellen, wat inhoudt dat een hacker een afbeelding van een bestandssysteem kan aanpassen zonder dat de gebruiker het weet.
Dit copy-on-write-gedrag werkt niet alleen met anoniem geheugen, maar ook met bestandstoewijzingen. Dit betekent dat, nadat het bestemmingsproces is begonnen met lezen uit het overgedragen geheugengebied, geheugendruk ertoe kan leiden dat de pagina's met het overgedragen geheugen uit de paginacache worden verwijderd. Later, wanneer de verwijderde pagina's opnieuw nodig zijn, kunnen ze opnieuw worden geladen vanuit het backing-bestandssysteem.
Dit betekent dat als een aanvaller een bestand op schijf kan muteren zonder het virtuele beheersubsysteem te informeren, dit een beveiligingsfout is. MacOS staat normale gebruikers toe om bestandssysteemafbeeldingen te mounten. Wanneer een gekoppelde bestandssysteemafbeelding direct wordt gemuteerd (bijvoorbeeld door pwrite() aan te roepen op de bestandssysteemafbeelding), wordt deze informatie niet doorgegeven aan het gekoppelde bestandssysteem.
Volgens Google heeft Apple dit probleem nog niet verholpen. Apple is echter van plan om een oplossing te implementeren in een aanstaande software-update.
hoe krijg je schone muziek op Apple Music?
We hebben contact gehad met Apple over dit probleem en op dit moment is er geen oplossing beschikbaar. Apple is van plan dit probleem in een toekomstige release op te lossen en we werken samen om de opties voor een patch te beoordelen. We werken dit item van de probleemtracker bij zodra we meer details hebben.
Google heeft de details over de bug vrijgegeven zonder een oplossing van Apple vanwege het Project Zero-beleid. Nadat een beveiligingsfout is ontdekt, verstrekt Project Zero details aan het bedrijf dat de software maakt, en krijgt het 90 dagen de tijd om het te repareren voordat het openbaar wordt gemaakt.
hoeveel kost een iphone xr?
Google deelt vervolgens openbaar details over beveiligingsfouten wanneer een bug is opgelost of wanneer de deadline van 90 dagen verloopt. Apple werd in november op de hoogte gebracht van de bug en de periode van 90 dagen verliep zonder een oplossing.
Mac-gebruikers moeten, zoals altijd, op hun hoede zijn voor de bestanden die ze downloaden om dergelijke aanvallen te voorkomen, en ervoor te zorgen dat ze alleen bestanden downloaden van vertrouwde sites. Het is niet bekend of dit een bug is die gemakkelijk te misbruiken is, maar Google heeft het als ernstig gemarkeerd omdat het de mogelijkheid heeft om macOS-beveiligingen te omzeilen.
Populaire Berichten