0-day уязвимость в macOS позволяет обойти защитные механизмы в один клик - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
15-08-2018, 04:00
0-day уязвимость в macOS позволяет обойти защитные механизмы в один клик - «Новости»
Рейтинг:
Категория: Новости

");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});

На конференции DEF CON известный ИБ-эксперт, бывший сотрудник АНБ и один из основателей компании Digita Security Патрик Вордл (Patrick Wardle) рассказал о 0-day уязвимости (CVE-2017-7150) в составе macOS. Проблема позволяет в один виртуальный клик обойти множество защитных механизмов ОС, без всякого взаимодействия с пользователем.








«С помощью всего одного клика можно обойти бессчетное количество защитных механизмов. Запустить недоверенное приложение? Клик… разрешено. Авторизовать доступ к keychain? Клик… разрешено. Загрузить стороннее расширение ядра? Клик… разрешено. Авторизовать исходящее сетевое соединение? Клик… разрешено», — пишет Вордл.


В своем исследовании, озаглавленном «Мышь сильнее меча», специалист описывает «синтетическое» взаимодействие с пользовательским интерфейсом. Изучив код macOS, Вордл предложил использовать программные и невидимые «синтетические клики», которые генерирует ПО, а не человек. Дело в том, что операционная система сама предлагает использовать такие «виртуальные» клики людям с ограниченными возможностями, хотя инженеры Apple и заложили в этот процесс определенные ограничения для защиты от злоупотребления.


Совершенно случайно, во время копирования всего пары строк кода, Вордл обнаружил, что High Sierra неверно определяет следующие друг за другом события down, как легитимный клик, что можно использовать для взаимодействия с предупреждениями механизмов безопасности, которые просят пользователя разрешить или запретить те или иные действия.


«Пользовательский интерфейс – это единая точка отказа. Если у вас есть возможность искусственного взаимодействия с такими оповещениями, у вас в руках очень мощный и универсальный способ обхода всех этих защитных механизмов», — объясняет исследователь.


Хотя пока Вордл не обнародовал технические подробности проблемы, он сообщает, что уязвимость может быть использована, например, для дампа всех паролей из keychain, загрузки вредоносных расширений ядра и получения полного контроля над уязвимым устройством. Известно, что macOS Mojave уже не имеет такой уязвимости, но, похоже, спектр специальных возможностей сократится в силу отключения «виртуальных кликов».


Источник новостиgoogle.com



Теги: CSS, Вордл Клик… обойти взаимодействия защитных

Просмотров: 878
Комментариев: 0:   15-08-2018, 04:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: