هک شدن macOS تنها با بازکردن یک سایت در Safari

کد خبر: 9736
در همین هفته تیم Dropbox از جزئیات سه رخنه خظرناک امنیتی در سیستم عامل macOS پرده برداشت؛ که به هکر این امکان را میدهد که با باز کردن تنها یک سایت، از راه دور کدهای مخرب را بر روی رایانه مک شما اجرا کند.

این رخنه های امنیتی توسط یک تیم امنیت سایبری با نام Syndis که توسط Dropbox برای انجام تست نفوذ زیرساخت های این شرکت از جمله نرم افزارهای ساخت Apple این شرکت بود شناسایی و معرفی شد.

البته این رخنه امنیتی در فوریه امسال شناسایی شده بود و به تیم امنیتی اپل گزارش داده شده بود و اپل نیز در بسته به روز رسانی March خود آن را به سرعت به روز رسانی و ترمیم کرد. بطوریکه Dropbox از سرعت این تیم شگفت زده شد و آنها را تحسین کرد.

براساس آنچه DropBox گفته است این رخنه امنیتی در واقع مربوط به  macOS نیست و در واقع کاربران Safari را مورد حمله قرار میدهد که همزمان آخرین نسخه از مرورگر سافاری و مک را نصب کرده اند.

در ادامه لیستس از این سه رخنه امنیتی را مشاهده می کنید:

  • CVE-2017-13890 : که با استفاده از کامپوننت های CoreType مک به سافاری این اجازه را میدهد که یک disk image را تنها با باز کردن یک webpage آلوده، بر روی کامپیوتر قربانی دانلود و mount کند.
  • CVE-2018-4176 : این رخنه همانگونه که Disk image ها در پکیج های نرم افزارها دایرکتوری ها را مدیریت می کنند با به کار گیری فایل های .bundle کار خود را پیش می برد. با این روش حمله کننده می تواند یک برنامه مخرب را از دیسک mount شده با استفاده از یک volume قابل بوت با نام bless و یک آرگومان Openfolder اجرا کند.
  • CVE-2018-4175 : این رخنه در واقع کارش کنار زدن سیستم امنیتی ضد نرم افزارهای مخرب سیستم عامل است. به روشی زیبا، سیستم عامل امنیتی سیستم عامل مک را دور می زند و یک ترمینال دستکاری شده را بالا می آورد که از طریق آن بتواند کدهای خود را اجرا کند.

در فیلمی که مشاهده می کنید محققان امنیتی تنها با ترکیب این سه رخنه امنیتی می توانند با دیدن یک آدرس در سافاری کل مدیریت رایانه شما را در دست بگیرند. دراپ باکس در پست وبلاگ خود می گوید:

در صحنه اول، یک تزمینال دستکاری شده را می بینید که میتواند فایل های با پسوند .workingpoc را اجرا کند. علاوه بر این یک فولدر خالی با نام test.bundle که بعنوان فودر پیش فرض باز شده که م یتواند به صورت خودکار مسیر Application/Terminal.app را بدون اینکه از کاربر سوالی بکند باز کند.

در صحنه دوم یک اسکریپت sign نشده را میبینید که با یک افزونه .workingpoc خود را در ترمینال دستکاری شده اجرا می کند.

در صورتی که می خواهید از این حملات به دور باشید تنها لازم است که هر ماه به روز رسانی های سیستم عامل خود را دریافت و نصب کنید.


افزودن دیدگاه جدید

  • دیدگاه های ارسال شده توسط شما، پس از تایید در وب سایت منتشر خواهد شد.
  • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.