macOS-da istifadəçi məlumatlarını oğurlamağa imkan vermiş boşluq aşkar edilib
Təhlükəsizlik
29.07.2025
Emil Nəcəfov
Microsoft Threat Intelligence mütəxəssisləri macOS sisteminə inteqrasiya olunmuş Spotlight axtarış funksiyasında boşluq aşkar ediblər. Bu boşluq, hakerlərin istifadəçilərin məxfi məlumatlarına çıxış əldə etmələrinə imkan verirdi. Şirkət mütəxəssisləri bu hücum metodunu Sploitlight adlandırıblar, çünki o, Apple-ın müdafiə mexanizmlərini aşmaq üçün Spotlight plaginlərindən istifadə edir. Məlumata görə, problem TCC (Transparency, Consent, and Control) adlı sistemin - yəni tətbiqlərin şəxsi məlumatlara çıxışını idarə edən mexanizmin - yan keçilməsi imkanında idi.
Boşluq, hakerlərə növbəti məlumatları əldə etməyə imkan verirdi: keşlənmiş məlumatlar, dəqiq geolokasiya, foto və video faylların metadatası, media kitabxanasındakı üz tanıma məlumatları, axtarış tarixçəsi, e-poçtların süni intellekt xülasələri və istifadəçi parametrləri. Apple hər nə qədər Spotlight plaginlərini "sandbox" rejimində təcrid etsə və onların qorunan fayllara çıxışını məhdudlaşdırsa da, Microsoft tədqiqatçıları Spotlight tərəfindən indeksasiya üçün istifadə edilən tətbiqlər toplusunu dəyişdirərək qorunan faylların məzmununu əldə etməyin yolunu tapıblar.
Microsoft aşkarlanmış boşluq barədə Apple-ı dərhal məlumatlandırıb və tərtibatçılar bu problemi 31 mart tarixində buraxılmış macOS Sequoia 15.4 və iOSmaiyyətə açıqlanmadan əvvəl ar18.4 yeniləmələrində aradan qaldırıblar. Şirkətlərin məlumatına görə, bu boşluq real hücumlarda istifadə olunmayıb, çünki problem ictiadan qaldırılıb. Apple yeniləmə sənədlərində bildirir ki, boşluq məlumatların daha yaxşı filtrdən keçirilməsi yolu ilə aradan qaldırılıb. Bundan əlavə, Apple Microsoft tərəfindən aşkar edilmiş daha iki boşluğu da düzəldib. Bu boşluqlardan biri simvolik keçidlərin yoxlanılması, digəri isə sistem vəziyyətinin idarə olunması ilə bağlı olub.
Linki kopyala
Bənzər xəbərlər
Oxşar xəbərlər
Dələduzlar süni intellekt vasitəsilə pul vəsaitlərini oğurlaya biləcəklər
Dələduzlar süni intellekt vasitəsilə pul vəsaitlərini oğurlaya biləcəklər
Süni intellekt sistemlərinin yaradıcıları onların qeyri-qanuni məqsədlərlə istifadəsi məsələsindən narahatdırlar və OpenAI-ın rəhbəri Sam Altman da istisna deyil.
Böyük texnoloji şirkətlər ilin əvvəlindən 100 000-dən çox işçini ixtisar ediblər
Böyük texnoloji şirkətlər ilin əvvəlindən 100 000-dən çox işçini ixtisar ediblər
2025-ci ildə texnologiya şirkətlərində işdən çıxarılanların sayı 100 000 nəfəri keçərək heyrətamiz bir səviyyəyə çatıb. Intel, Microsoft, Meta və digər aparıcı şirkətlər kütləvi ixtisarlar barədə elan veriblər.
Microsoft Sharepoint serverlərinə kiberhücum 2025-ci ilin ən böyüyü ola bilər
Microsoft Sharepoint serverlərinə kiberhücum 2025-ci ilin ən böyüyü ola bilər
Çinlə əlaqəli olduğu güman edilən hakerlər Microsoft SharePoint platformasındakı bir boşluqdan istifadə edərək dünya üzrə təxminən 400 hökumət qurumu, korporasiya və digər təşkilatların sistemlərinə giriş əldə ediblər.
Çinli hakerlər ABŞ Milli Nüvə Təhlükəsizliyi İdarəsinə daxil olublar
Çinli hakerlər ABŞ Milli Nüvə Təhlükəsizliyi İdarəsinə daxil olublar
Microsoft SharePoint platformasında aşkarlanmış təhlükəsizlik boşluğu ilə bağlı səs-küylü hadisə yeni detallar ilə genişlənməkdə davam edir. Daha əvvəl məlumat verilmişdi ki, çinli hakerlər dünyanın müxtəlif ölkələrində 100-dən artıq serveri sındırıblar.
Microsoft Google DeepMind-ın 20-dən çox süni intellekt mütəxəssisini özünə cəlb edib
Microsoft Google DeepMind-ın 20-dən çox süni intellekt mütəxəssisini özünə cəlb edib
Son aylar ərzində Microsoft şirkəti süni intellekt sahəsində fəaliyyət göstərən Google DeepMind tədqiqat bölməsindən 20-dən çox əməkdaşı özünə cəlb edib.
Həftənin xəbərləri
