अमाया तोमन सुरक्षा संशोधक Filippo Cavallarin ने त्याच्या ब्लॉगवर macOS 10.14.5 मधील बगबद्दल चेतावणी पोस्ट केली. यामध्ये गेटकीपरच्या सुरक्षा उपायांना पूर्णपणे बायपास करण्याची शक्यता असते. कॅव्हॅलरिनच्या म्हणण्यानुसार, त्यांनी या वर्षाच्या फेब्रुवारीमध्ये आधीच Appleपलला त्रुटी निदर्शनास आणली होती, परंतु कंपनीने नवीनतम अद्यतनात ती दुरुस्त केली नाही.
गेटकीपर ऍपलने विकसित केले होते आणि 2012 मध्ये प्रथमच त्याच्या डेस्कटॉप ऑपरेटिंग सिस्टममध्ये समाविष्ट केले होते. ही एक अशी यंत्रणा आहे जी वापरकर्त्याच्या माहितीशिवाय आणि संमतीशिवाय अनुप्रयोग चालवण्यापासून प्रतिबंधित करते. तुम्ही एखादे ॲप डाउनलोड केल्यानंतर, गेटकीपर आपोआप त्याचा कोड तपासतो की ते सॉफ्टवेअर Apple द्वारे योग्यरित्या स्वाक्षरी केलेले आहे की नाही.
असू शकते तुम्हाला स्वारस्य आहे
त्याच्या ब्लॉग पोस्टमध्ये, कॅव्हॅलरिन सांगतात की गेटकीपर, डीफॉल्टनुसार, बाह्य स्टोरेज आणि नेटवर्क शेअर्स दोन्ही सुरक्षित स्थाने मानतात. त्यामुळे या लक्ष्यांमध्ये राहणारे कोणतेही ॲप्लिकेशन गेटकीपर चेकमधून न जाता आपोआप लॉन्च केले जाऊ शकते. हे वैशिष्ट्य आहे जे वापरकर्त्याच्या माहितीशिवाय दुर्भावनापूर्ण सॉफ्टवेअर लॉन्च करण्यासाठी शोषण केले जाऊ शकते.
अनधिकृत प्रवेशास अनुमती देणारे एक पैलू म्हणजे ऑटोमाउंट वैशिष्ट्य, जे वापरकर्त्यांना "/net/" ने सुरू होणारा मार्ग निर्दिष्ट करून नेटवर्क शेअर स्वयंचलितपणे माउंट करण्याची अनुमती देते. उदाहरण म्हणून, Cavallarin "ls /net/evil-attacker.com/sharedfolder/" या मार्गाचा उल्लेख करते ज्यामुळे ऑपरेटिंग सिस्टमला "sharefolder" फोल्डरची सामग्री रिमोट ठिकाणी लोड करू शकते जी संभाव्य दुर्भावनापूर्ण असू शकते.
व्हिडिओमध्ये धमकी कशी कार्य करते ते तुम्ही पाहू शकता:
आणखी एक घटक म्हणजे ऑटोमाउंट फंक्शनकडे नेणारे विशिष्ट सिमलिंक असलेले झिप आर्काइव्ह शेअर केले असल्यास, गेटकीपरद्वारे ते तपासले जाणार नाही. अशा प्रकारे, पीडित व्यक्ती दुर्भावनापूर्ण संग्रहण सहजपणे डाउनलोड करू शकतो आणि ते अनझिप करू शकतो, ज्यामुळे आक्रमणकर्त्याला वापरकर्त्याच्या माहितीशिवाय Mac वर कोणतेही सॉफ्टवेअर चालवता येते. फाइंडर, जे डीफॉल्टनुसार काही विस्तार लपवते, त्याचाही या भेद्यतेचा वाटा आहे.
Cavallarin त्याच्या ब्लॉगवर सांगतात की Apple ने या वर्षी 22 फेब्रुवारी रोजी macOS ऑपरेटिंग सिस्टमच्या असुरक्षिततेकडे लक्ष वेधले. परंतु मेच्या मध्यभागी, ऍपलने कॅव्हॅलरिनशी संवाद साधणे बंद केले, म्हणून कॅव्हॅलरिनने संपूर्ण गोष्ट सार्वजनिक करण्याचा निर्णय घेतला.
स्त्रोत: FCVL
