Apple paga recompensa de US $ 100.500 para hacker

Shape Image One
Apple paga recompensa de US $ 100.500 para hacker

Salve galera! Wellington Agápto por aqui. Hoje eu trouxe o artigo: Microsoft inicia 2022 com atualizações de Segurança. Espero que seja útil, um grande abraço e até a próxima. 

 

Apple paga recompensa de US $ 100.500 para hacker

No ano passado, a Apple corrigiu um novo conjunto de vulnerabilidades do macOS que expunha o navegador Safari a ataques, potencialmente permitindo que agentes mal-intencionados acessassem contas online, microfone e webcam dos usuários. O pesquisador de segurança Ryan Pickren, que descobriu e relatou os bugs ao fabricante do iPhone, foi compensado com uma recompensa de US$ 100.500, ressaltando a gravidade dos problemas. Ao explorar uma cadeia de problemas de segurança com o iCloud Sharing e o Safari 15, ele permite que o invasor sequestre a permissão multimídia e obtenha “acesso total a todos os sites visitados pela vítima” no Safari, incluindo contas do Gmail, iCloud, Facebook e PayPal .

Os problemas dizem respeito especificamente ao ShareBear, um mecanismo de compartilhamento de arquivos do iCloud que avisa os usuários ao tentarem abrir um documento compartilhado pela primeira vez. Aproveitando o fato de que os usuários nunca mais são exibidos no prompt quando aceitam abrir o arquivo, Pickren descobriu que é possível alterar o conteúdo do arquivo para qualquer coisa por qualquer pessoa com acesso ao arquivo.

“O ShareBear então baixará e atualizará o arquivo na máquina da vítima sem qualquer interação ou notificação do usuário”, explicou Pickren em um artigo técnico. “Em essência, a vítima deu ao invasor permissão para plantar um arquivo polimórfico em sua máquina e permissão para iniciá-lo remotamente a qualquer momento”.

Em outras palavras, um arquivo de imagem com formato .PNG pode ter todo o seu conteúdo e extensão alterados para um binário executável (“evil.dmg”) após o usuário concordar em abri-lo. O binário pode então ser iniciado, acionando uma cadeia de exploração que aproveita falhas adicionais descobertas no Safari para assumir o microfone ou a webcam da máquina ou até mesmo roubar arquivos locais.

  • CVE-2021-30861 – Um problema de lógica no WebKit que pode permitir que um aplicativo malicioso ignore as verificações do Gatekeeper
  • CVE-2021-30975 – Um problema no Script Editor que poderia permitir que uma adição de script OSAX maliciosa ignorasse as verificações do Gatekeeper e contornasse as restrições do sandbox

 

“Este projeto foi uma exploração interessante de como uma falha de design em um aplicativo pode permitir que uma variedade de outros bugs não relacionados se tornem mais perigosos”, disse Pickren. “Também foi um ótimo exemplo de como, mesmo com o macOS Gatekeeper ativado, um invasor ainda pode causar muitos danos ao enganar aplicativos aprovados para fazer coisas maliciosas”.

 

Curso gratuito com certificado?

Faça o curso de Fundamentos da computação em nuvem gratuitamente e garanta o seu certificado. Inscreva-se clicando AQUI.

certificado-de-curso-computacao-em-nuvem-wellington-agapto-uni-academy

 

Já conhece o nosso canal do Youtube?

Gostaram do artigo Microsoft inicia 2022 com atualizações de Segurança? Então conheça também o nosso Canal do Youtube? para aulas gratuitas.

 

Curso para a Certificação AZ-900?

Conheça o nosso curso preparatório para a Certificação AZ-900 Fundamentos do Microsoft Azure clicando AQUI.