Сегодня Apple подтвердила TechCrunch, что только что выпущенное обновление программного обеспечения macOS 11.3 устраняет уязвимость безопасности, которая, как сообщается, могла позволить злоумышленнику удаленно получить доступ к конфиденциальным данным пользователя, обманом заставив пользователя открыть поддельный документ.

«Все, что нужно было сделать пользователю, — это дважды щелкнуть, и никаких запросов или предупреждений macOS не генерировалось», — сказал исследователь безопасности Седрик Оуэнс, который обнаружил уязвимость в середине марта, согласно отчету. Оуэнс разработал демонстрационное приложение, маскирующееся под безобидный документ, которое использует ошибку для запуска приложения «Калькулятор», но он сказал, что уязвимость может быть использована и для более зловещих целей.

По словам исследователя безопасности Патрика Уордла, уязвимость стала результатом логической ошибки в базовом коде macOS.

«Проще говоря, приложения macOS — это не один файл, а пакет различных файлов, необходимых для работы приложения, включая файл списка свойств, который сообщает приложению, где находятся зависимые файлы», — объясняет TechCrunch. «Но Оуэнс обнаружил, что удаление этого файла свойств и сборка пакета с определенной структурой может обмануть macOS, заставив ее открыть пакет — и запустить код внутри — без каких-либо предупреждений».

Помимо исправления ошибки в macOS 11.3, Apple сообщила TechCrunch, что она исправила более ранние версии macOS для предотвращения злоупотреблений и обновила встроенную систему защиты от вредоносных программ XProtect, чтобы блокировать вредоносное ПО, использующее эту уязвимость. В отчете говорится, что ошибка использовалась в течение нескольких месяцев, но неясно, сколько пользователей пострадало.