КиберСек

Метка: macOS

  • Обнаруженный PoC возродил уязвимость ядра iOS

    Обнаруженный PoC возродил уязвимость ядра iOS

    Исследователь @karzan_0x455 опубликовал информацию о критической уязвимости в системе iOS, которую Apple уже исправила в сентябре 2023 года. Однако уязвимость снова обсуждается в сообществе джейлбрейкеров.

    Эта уязвимость позволяет вредоносному приложению получить контроль над устройством, обойдя проверку подписи. Проблема заключается в некорректной проверке сертификатов в ядре iOS.

    Уязвимыми были следующие системы:
    — iOS 16.7 / 17.0.1
    — iPadOS 16.7 / 17.0.1
    — macOS 12.7 / 13.6
    — watchOS 9.6.3 / 10.0.1

    Apple выпустила патч, который усилил проверку сертификатов и добавил дополнительные проверки на уровне ядра.

    Сейчас уязвимость была детально изучена, и на GitHub доступны материалы для анализа бага. Хотя рабочего эксплойта нет, есть все необходимые данные для его создания.

    Эта уязвимость может быть использована для установки неподписанных приложений, обновления джейлбрейков и создания новых утилит. Пользователи старых версий iOS до 16.7 все еще могут быть уязвимы, поэтому важно быть внимательными.

  • Обновление iOS 18.5: исправлены уязвимости в FaceTime, Safari и ядре системы

    Обновление iOS 18.5: исправлены уязвимости в FaceTime, Safari и ядре системы

    Компания Apple выпустила новое обновление iOS 18.5 и несколько исправлений для iPadOS, macOS и других систем. Эти обновления важно установить как можно быстрее, так как они закрывают множество серьезных уязвимостей, которые могут быть использованы злоумышленниками для запуска вредоносного кода при открытии картинок, видео или веб-страниц.

    iOS 18.5 исправляет критические уязвимости в различных компонентах, таких как AppleJPEG и CoreMedia, которые позволяли злоумышленникам выполнить вредоносные медиафайлы с правами приложения. Также были устранены проблемы в CoreAudio, CoreGraphics и ImageIO, которые могли привести к утечке данных или сбою приложений. Девять уязвимостей в WebKit также были закрыты, предотвращая возможность запуска вредоносного кода на устройстве пользователя.

    Был также исправлен баг в приложении FaceTime, который позволял звуку продолжать передаваться даже после отключения микрофона. Apple также улучшила защиту ядра от эксплойтов, связанных с повреждением памяти, и устранила ошибку в библиотеке libexpat. Другие важные исправления касаются дыры в модуле Baseband, проблемы в mDNSResponder, уязвимостей в Notes, FrontBoard, iCloud Document Sharing и Mail Addressing.

    Обновление iOS 18.5 доступно для всех моделей начиная с iPhone XS, а iPadOS — для определенных моделей iPad. Также вышли обновления для macOS, WatchOS, tvOS и visionOS. Важно установить все обновления как можно скорее.

  • Уязвимость в macOS: Microsoft обнаружила обход App Sandbox

    Уязвимость в macOS: Microsoft обнаружила обход App Sandbox

    Команда Microsoft Threat Intelligence обнаружила опасную уязвимость в macOS, которая позволяет обойти защиту приложений. Эта уязвимость имеет идентификатор CVE-2025-31191 и представляет серьезную угрозу безопасности.

    С помощью этой уязвимости злоумышленники могут запускать вредоносный код через приложения без ведома пользователя. Это происходит без каких-либо действий со стороны пользователя.

    App Sandbox в macOS — это система, которая ограничивает доступ приложений к определенным ресурсам. Это как песочница, где приложение может работать только со своими данными.

    Microsoft обнаружила, что через API GrantAccessToMultipleFiles приложения могут запрашивать доступ к нескольким файлам одновременно. Злоумышленники могут использовать эту уязвимость для обхода защиты.

    Атака выглядит следующим образом:
    1. Старый ключ подписи удаляется из Keychain.
    2. Злоумышленник вставляет известный ключ.
    3. Создаются фальшивые записи в файле PLIST, который хранит информацию о доступе к файлам.
    4. Записи отправляются системному агенту ScopedBookmarkAgent, который дает приложению доступ к файлам за пределами его контейнера.

    Эта уязвимость серьезна, потому что она может быть использована для обхода защиты в любом приложении macOS, использующем security-scoped bookmarks. Особенно это опасно для популярных приложений, таких как Microsoft Office, если в них есть макросы.

    Apple уже выпустила обновление, которое исправляет эту уязвимость. Если у вас еще не установлено обновление, то делать это необходимо как можно скорее.

  • AirBorne: 23 уязвимости в AirPlay угрожают безопасности

    AirBorne: 23 уязвимости в AirPlay угрожают безопасности

    Исследователи из компании Oligo Security нашли 23 уязвимости в протоколе AirPlay и связанном с ним SDK. Эти уязвимости позволяют злоумышленникам удаленно взламывать устройства от Apple, такие как iPhone, iPad, Mac и другие устройства, которые используют AirPlay SDK. Некоторые уязвимости даже позволяют атакующим взламывать устройства без участия пользователя.

    Apple выпустила исправления для этих уязвимостей 31 марта, но не все устройства обновляются сразу. Пока устройства не обновлены, они остаются уязвимыми, даже если пользователь не нажимает ничего.

    Самые опасные уязвимости позволяют запускать червей без необходимости клика пользователя. Также есть уязвимость, которая позволяет обойти подтверждение при подключении к AirPlay без согласия пользователя. Это означает, что злоумышленник может заразить одно устройство и затем распространяться по другим устройствам в сети.

    Для защиты себя рекомендуется срочно обновить все устройства, связанные с AirPlay, отключить AirPlay, если он не используется, ограничить доступ по файрволу и включить настройку AirPlay только для текущего пользователя.

    У Apple есть более 2,35 миллиарда устройств с AirPlay по всему миру, поэтому важно обезопасить свои устройства от возможных атак.

  • Безопасность macOS под угрозой: обход Gatekeeper через libAppleArchive

    Безопасность macOS под угрозой: обход Gatekeeper через libAppleArchive

    Компания Apple снова стала главной темой из-за уязвимости в своей библиотеке libAppleArchive, которая используется для работы с архивами .aar. Исследователь Снулли Кеффабер обнаружил серьезную проблему (CVE-2024-27876, CVSS 8.1), которая позволяет злоумышленнику записывать файлы в любое место на диске и обходить защиту Gatekeeper.
    Кеффабер начал исследовать Apple Archive на Linux, написав свой собственный парсер — libNeoAppleArchive. Он заметил, что при распаковке архива можно создать симлинк на файл в любую директорию на системе.
    Дальнейшие тесты показали, что в процессе распаковки возникает состояние гонки. Библиотека сначала проверяет существование нужной папки, а затем создает её. Если в это время создать симлинк на другую директорию, libAppleArchive будет считать, что папка уже создана и продолжит записывать файлы туда. Таким образом, данные будут попадать в место, на которое указывает симлинк, под управлением злоумышленника.
    Кеффабер смог увеличить успешность атаки, повторяя структуру из симлинков и файлов в архиве. Затем он обнаружил, что можно обойти Gatekeeper. Archive Utility сначала распаковывает файлы во временную директорию, а затем применяет карантинные метки. Используя уязвимость, libAppleArchive может распаковывать файлы вне этой директории и обойти карантин, что представляет опасность.
    Уязвимость затрагивает не только macOS, но и некоторые приложения на iOS, такие как WorkflowKit (Shortcuts), FlexMusicKit, ClipServices и приложение Файлы. Кеффабер опубликовал доказательство концепции, показывая, что атака реальна, хотя требует специфических знаний, таких как переменная $TMPDIR.
    Apple уже исправила уязвимость в своих последних обновлениях, поэтому важно обновиться как можно скорее. Уязвимость серьезная, и эксплойт уже доступен в сети.

  • Apple обучает Siri писать письма без доступа к переписке

    Apple обучает Siri писать письма без доступа к переписке

    Компания Apple решила улучшить своего помощника Siri, чтобы он стал более полезным и чтобы ваша переписка оставалась конфиденциальной. С выходом новых версий iOS 18.5 и macOS 15.5 появятся улучшения в Apple Intelligence, и вот как они обучаются.

    Обычно модели обучают на выдуманных сообщениях. Однако такой подход не всегда отражает настоящий стиль общения. Поэтому Apple придумала способ сделать синтетические сообщения более реалистичными.

    Теперь модель будет сравнивать выдуманные сообщения с реальными сообщениями, которые находятся на устройствах пользователей, согласившихся участвовать в анонимной аналитике. Письма не отправляются никуда, устройство просто анализирует их особенности.

    Apple подчеркивает, что никто не читает конкретные письма и векторы не покидают устройство. Компания видит только статистику по типам синтетических писем, чтобы улучшить качество обучения, не нарушая конфиденциальность.

    Ранее мы обсуждали, является ли Apple Intelligence прорывом или угрозой для конфиденциальности владельцев iPhone.

  • Эксплуатация трех уязвимостей в старых iPhone: патчи готовы

    Эксплуатация трех уязвимостей в старых iPhone: патчи готовы

    Компания Apple выпустила важные обновления для старых версий iOS, iPadOS и macOS, чтобы закрыть три уязвимости нулевого дня. Эти уязвимости в настоящее время используются злоумышленниками для атак, поэтому обновление необходимо.

    Обновления получили следующие версии:
    — iOS / iPadOS 16.7.11.
    — iOS / iPadOS 15.8.4.
    — macOS Sonoma 14.7.5.

    Одна из уязвимостей позволяла обойти аутентификацию в iOS и использовалась для точечных атак на конкретных пользователей. Другая уязвимость позволяла злоумышленнику выйти за пределы безопасной среды браузера через веб-страницу. Третья уязвимость была связана с медиасистемой Apple и позволяла вредоносному коду работать с повышенными привилегиями.

    Если вы используете устройство с устаревшей версией iOS или macOS, особенно если активно пользуетесь интернетом, то стоит обновиться. Это поможет избежать возможных проблем и защитит ваше устройство от атак.

  • macOS-вредонос ReaderUpdate атакует Go, Rust, Nim

    macOS-вредонос ReaderUpdate атакует Go, Rust, Nim

    Эксперты предупреждают о новой версии вредоносной программы ReaderUpdate, которая направлена на атаки на компьютеры Mac. Раньше она была создана на языке Python, но теперь авторы используют языки программирования Go, Rust, Nim и Crystal.

    ReaderUpdate используется для установки рекламного софта Genieo, Dolittle и MaxOfferDeal. Хотя языки программирования меняются, функциональность программы остается той же.

    С начала 2024 года появились новые серверы C2 для вариантов на Crystal, Nim и Rust, а недавно была найдена версия на Go.

    Как и предыдущие версии, новый вредонос распространяется через установщики, которые маскируются под полезные программы, а также через сторонние сайты для загрузки программ. ReaderUpdate работает только на устройствах с архитектурой Intel x86.

    Анализ версии на Go показал, что она собирает информацию об устройстве, создает уникальный идентификатор и отправляет его на сервер C2. Программа также может выполнять команды, полученные от сервера C2, что делает вредоносный загрузчик опасным.

    На данный момент ReaderUpdate используется только для установки рекламных программ, но его архитектура позволяет легко заменить рекламный контент на более вредоносный.

    Компания SentinelOne обнаружила девять образцов ReaderUpdate на Go, которые взаимодействуют с семью различными доменами C2. Однако эта версия встречается реже, чем версии на Nim, Crystal и Rust.

  • iOS обновлен: исправлен критический баг WebKit

    iOS обновлен: исправлен критический баг WebKit

    Компания Apple исправила уязвимость, которая могла быть использована злоумышленниками для кибератак. Проблема связана с программным обеспечением WebKit и позволяла запускать вредоносный код, обходя защиту.

    Apple выпустила обновление, которое исправляет эту проблему. Они не раскрывают подробности, но утверждают, что оно улучшает защиту от таких атак.

    Обновления доступны для различных устройств, таких как iPhone, iPad, Mac и других. Это уже третья уязвимость, которую Apple исправляет в этом году.

    Если у вас есть возможность установить обновление, сделайте это как можно скорее, чтобы обезопасить ваше устройство от атак.

  • Распространение Poseidon через DeepSeek для macOS

    Распространение Poseidon через DeepSeek для macOS

    Эксперты компании eSentire обнаружили в интернете несколько поддельных сайтов, которые представляются как приложение ИИ под названием DeepSeek, но на самом деле распространяют стилер Poseidon. Людей привлекают на эти сайты через рекламу и редиректы.

    Фальшивые сайты очень похожи на настоящий сайт DeepSeek. Когда пользователь нажимает на кнопку Начать, происходит переадресация на страницу загрузки. Если выбрать версию для macOS, то скачивается вредоносный файл DMG с другого сайта.

    После открытия скачанного файла пользователю предлагается установить приложение через командную строку. На самом деле, вместо обещанного приложения в файле содержится скрипт, который загружает вредоносный троян. Это позволяет злоумышленникам обойти защиту GateKeeper в macOS.

    Другие поддельные сайты DeepSeek используют всплывающие окна в стиле ClickFix для распространения Poseidon Stealer. Этот троян умеет красть данные из браузеров (Chrome и Firefox), папки Telegram и пользовательские файлы на компьютере.

    Чтобы украсть пароль от macOS, стилер отображает диалоговое окно. Если пароль введен неверно, он запрашивается снова. Poseidon также умеет избегать обнаружения при запуске в отладчике или песочнице и использует шифрование.

    Это не первый случай, когда злоумышленники используют популярное приложение DeepSeek для распространения вредоносных программ. Также были случаи фишинга под видом нового ИИ-инструмента.

  • Как FrigidStealer манипулирует пользователями macOS: психология обмана

    Как FrigidStealer манипулирует пользователями macOS: психология обмана

    Киберпреступники атакуют пользователей Mac, используя новый вредоносный софт FrigidStealer, который выдается за обновления браузеров. Эта группировка, известная как TA2727, также связана с другими вредоносными программами для Windows и Android.

    Киберпреступники создают фальшивые обновления, чтобы распространять вредоносные программы. Они используют скомпрометированные сайты и маскируют вредоносный код под обновления браузеров. Они также подстраивают вредоносные программы под операционную систему и географическое положение жертвы.

    С начала 2025 года киберпреступники начали атаковать пользователей Mac за пределами Северной Америки. Они предлагают загрузить поддельное обновление браузера, содержащее FrigidStealer. После установки этот вредоносный софт запрашивает пароль администратора, чтобы получить доступ к конфиденциальным данным пользователя.

    Эксперты предупреждают, что атаки через зараженные веб-страницы остаются опасными, поэтому важно загружать обновления только с официальных сайтов и избегать софт из ненадежных источников.

  • Возвращение XCSSET: секреты новой версии вредоносного ПО macOS

    Возвращение XCSSET: секреты новой версии вредоносного ПО macOS

    Компания Microsoft нашла новую версию вредоносной программы XCSSET для macOS. По данным Microsoft Threat Intelligence, это первое обновление XCSSET с начала 2022 года. Новая версия имеет улучшенную маскировку, обновленные механизмы закрепления в системе и новые методы заражения.

    XCSSET — это сложная вредоносная программа, которая заражает проекты Apple Xcode. Она была обнаружена впервые в 2020 году и затем адаптирована к новым версиям macOS и чипам Apple M1. Злоумышленники использовали её для кражи данных из браузеров, мессенджеров и приложений Apple, таких как Заметки и Контакты. В 2021 году уязвимость CVE-2021-30713 позволила XCSSET делать скриншоты экрана без разрешения.

    Обновленная версия XCSSET теперь использует сложные методы шифрования и закрепления в системе, чтобы сделать анализ сложнее и автоматически запускаться при каждом новом сеансе работы в терминале. Один из методов закрепления включает загрузку утилиты dockutil с серверов злоумышленников для управления элементами дока macOS. Потом вредонос создает фальшивое приложение Launchpad и меняет его путь в доке, чтобы запускать зловредный код вместо оригинального Launchpad.

    Несмотря на то, что XCSSET наблюдается уже много лет, его происхождение остается неизвестным. Новая версия показывает, что злоумышленники продолжают адаптировать вредоносное ПО под современные системы безопасности Apple, используя более изощренные методы атаки.