Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → macos

Microsoft сделала macOS уязвимой — проблема в офисных приложениях

Исследователи в сфере информационной безопасности из Cisco Talos обнаружили несколько уязвимостей в приложениях Microsoft для операционной системы Apple macOS. Эксплуатация их позволяет осуществлять слежку за пользователями компьютеров Mac, в том числе с получением доступа к камере и микрофону атакуемого устройства.

 Источник изображения: Copilot

Источник изображения: Copilot

В публикации Cisco Talos исследователи остановились подробнее на том, как злоумышленники могут использовать уязвимости приложений Microsoft для macOS, таких как Outlook или Teams, для получения доступа к камере или микрофону устройства без согласия пользователя. Атака основана на внедрении вредоносных библиотек в приложения Microsoft с целью получения прав и разрешений, аналогичных тем, что пользователь уже предоставил легитимным продуктам.

В macOS есть служба Transparency Consent and Control (TCC), которая используется для управления разрешениями приложений, включая определение местоположения устройства, доступ к камере, микрофону, фотографиям и др. Каждому приложению необходимо получить разрешение TCC для расширения прав. Однако эксплойт на основе уязвимостей приложений Microsoft позволяет вредоносному ПО использовать разрешения, которые уже были предоставлены программным продуктам софтверного гиганта.

«Мы выявили восемь уязвимостей в разных приложениях Microsoft для macOS, благодаря которым злоумышленники могут обойти механизм получения разрешений в операционной системе, используя существующие разрешения и не запрашивая у пользователя дополнительной проверки», — говорится в сообщении исследователей.

К примеру, хакер может создать вредоносное ПО для записи звука с микрофона или создания фотоснимков без какого-либо взаимодействия с пользователем устройства. Отмечается, что все проблемные приложения, кроме Excel, имеют возможность записи звука, а некоторые имеют доступ к камере.

Согласно имеющимся данным, Microsoft уже работает над патчем, который устранит найденные уязвимости в своих продуктах для macOS. Проблема уже была исправлена в Teams и OneNote, но она продолжает оставаться актуальной для Excel, PowerPoint, Word и Outlook. Созданный исследователями эксплойт в компании не посчитали опасным, поскольку он полагается на загрузку неподписанных библиотек для поддержки сторонних плагинов. Ознакомиться с более детальной информацией по данному вопросу можно в блоге Cisco Talos.

Новая статья: Всё включено: обзор пакета офисных приложений «МойОфис для дома»

Данные берутся из публикации Всё включено: обзор пакета офисных приложений «МойОфис для дома»

В iOS 18 появилась функция для восстановлениях утерянных и повреждённых фото

Apple представила новую функцию в iOS 18, которая поможет пользователям восстановить утерянные или повреждённые фотографии и видео. Новый альбом «Восстановленные» в приложении «Фото» автоматически обнаружит и покажет ранее недоступные медиафайлы, но всё ещё хранящиеся на устройстве, давая пользователям второй шанс на их сохранение.

 Источник изображения: Apple

Источник изображения: Apple

Инновационная функция доступна не только в iOS 18, но также в iPadOS 18 и macOS Sequoia. По заявлению Apple, новая технология может идентифицировать и локализовать ранее утерянные или повреждённые медиафайлы, отображая их в новом альбоме «Восстановленные» (Recovered) в приложении «Фото». Этот альбом будет существовать параллельно с уже знакомым пользователям альбомом «Недавно удалённые». Отмечается, что при обновлении до iOS 18, iPadOS 18 и macOS Sequoia устройство автоматически проведёт сканирование на наличие восстанавливаемых фотографий и видео.

Существует несколько причин, по которым фотографии или видео могут быть утеряны или повреждены. Например, это может произойти из-за проблем с повреждением базы данных или когда сделанная фотография не сохраняется должным образом в библиотеке. Кроме того, сторонние приложения, имеющие разрешение на управление библиотекой «Фото», также могут стать причиной проблем.

Чтобы найти этот альбом, пользователям необходимо выполнить следующие шаги:

  • Открыть приложение «Фото»
  • Прокрутить вниз и найти раздел «Утилиты»
  • Нажать на «Восстановленные» и пройти аутентификацию с помощью Face ID или Touch ID
  • Выбрать фотографию или видео и принять решение, «Удалить навсегда» или «Восстановить в библиотеке»

Важно отметить, что новый альбом будет виден только в том случае, если на устройстве действительно есть утерянные или повреждённые медиафайлы. В противном случае эта опция не будет отображаться.

Появление этой полезной функции в iOS 18 последовало за недавним инцидентом с ошибкой повреждения базы данных в iOS 17.5, которая привела к повторному появлению удалённых фотографий. Тогда Apple подчеркнула, что эта проблема была случайной и затронула небольшое количество пользователей. Добавление новой функции даёт больше контроля над процессом удаления фотографий и видео, а также предоставляет возможность восстановления медиафайлов, которые считались потерянными.

Приложение ChatGPT для macOS сохраняло переписку в виде открытого текста

Приложение OpenAI ChatGPT для macOS до недавнего времени сохраняло переписку с чат-ботом на компьютере в виде открытого текста — это файлы было легко найти и прочитать. Это значит, что злоумышленник или вредоносное приложение, получив доступ к компьютеру, имели возможность прочитать переписку с ChatGPT и содержащуюся в ней информацию.

 Источник изображения: ilgmyzin / unsplash.com

Источник изображения: ilgmyzin / unsplash.com

На проблему обратил внимание пользователь соцсети Threads Педро Хосе Перейра Виейто (Pedro José Pereira Vieito). Он напомнил, что ещё в 2018 году с выходом macOS Mojave 10.14 доступ к пользовательским данным был заблокирован на уровне системы, но OpenAI решила пренебречь средствами защиты информации: текст хранился в незашифрованном виде, да ещё и в небезопасном местоположении. Чтобы подчеркнуть серьёзность проблемы, он написал собственное приложение, которое по нажатию кнопки считывало переписку с ChatGPT.

 Источник изображения: Pedro José Pereira Vieito

Источник изображения: Pedro José Pereira Vieito

К настоящему моменту ошибка исправлена — журналисты ресурса The Verge связались с OpenAI, и компания выпустила обновление приложения. «Мы осведомлены о проблеме и выпустили новую версию приложения, которая шифрует эту переписку. Мы стремимся предлагать удобный пользовательский интерфейс, сохраняя при этом наши высокие стандарты безопасности по мере развития наших технологий», — заявила представитель OpenAI Тая Кристиансон (Taya Christianson). После установки обновления приложение для перехвата содержимого чатов выполнять свою функцию перестало.

Клиент ChatGPT для macOS распространяется только через сайт OpenAI, а в таком ПО нет гарантии, что соблюдаются требования Apple по изолированной среде, которые применяются к приложениям в Mac App Store. OpenAI также предоставила себе право просматривать переписку пользователей с ChatGPT в целях безопасности и дальнейшего обучения своих моделей, но у пользователей есть возможность от этого отказаться.

Миллионы приложений для iOS и macOS оказались под угрозой взлома из-за уязвимости в CocoaPods

Специалисты в сфере информационной безопасности из EVA Information Security обнаружили несколько уязвимостей в менеджере зависимостей CocoaPods, с помощью которого разработчики могут переносить функции из других приложений в свои. Проблема затронула около 3 млн приложений для iOS и macOS, которые используют в своей работе CocoaPods.

 Источник изображения: 9to5mac.com

Источник изображения: 9to5mac.com

Эксплуатация этих уязвимостей может привести к тому, что злоумышленники получат доступ к конфиденциальным данным приложений, включая номера банковских карт пользователей, медицинские записи и др. Такая информация может использоваться для совершения ряда преступлений, таких как мошенничество, шантаж и корпоративный шпионаж.

Согласно имеющимся данным, уязвимости связаны с механизмом проверки подлинности электронной почты, который используется для аутентификации разработчиков отдельных библиотек. Например, злоумышленник может изменить URL-адрес в ссылке для проверки, чтобы она перенаправляла на вредоносный сервер. Разработчики CocoaPods исправили все обнаруженные уязвимости после получения соответствующего сообщения от EVA.

Отметим, что это не первый случай, когда в CocoaPods находят опасные уязвимости. В 2021 году разработчики подтвердили наличие уязвимости, которая позволяла репозиториям CocoaPods запускать произвольный код на серверах, которые им управляют. Такая ошибка могла использоваться злоумышленниками для подмены легитимного кода вредоносными пакетами, которые в конечном счёте могли оказаться в приложениях для iOS и macOS.


window-new
Soft
Hard
Тренды 🔥
Microsoft разрабатывала ИИ ОС, отличную от Windows — с глубокой интеграцией Copilot и агентов 3 ч.
«Самое янское дополнение в истории»: геймплейный трейлер сюжетного аддона The Alters: Last Variable порадовал фанатов 4 ч.
Epic Games Store устроил раздачу классической игры I Have No Mouth, and I Must Scream о последних людях на Земле, которых пытает безумный суперкомпьютер 6 ч.
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 7 ч.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 7 ч.
«Не можешь — научим, не хочешь — заставим»: Microsoft мобилизует 6000 сотрудников для помощи клиентам во внедрении ИИ 7 ч.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 7 ч.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 8 ч.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 8 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 8 ч.