Un tedesco ricercatore di sicurezza ha pubblicato un video nel week end e mostra un nuovo zero-day che interessano Apple macOS sistema operativo desktop.
Anche: Online sicurezza 101: Consigli per proteggere la tua privacy
In un’intervista al tedesco tech sito Heise, Linus Henze, il ricercatore di sicurezza, dice la vulnerabilità permette ad un malintenzionato di app in esecuzione su un sistema macOS per ottenere l’accesso a password memorizzate all’interno del Portachiavi –il sistema di gestione delle password integrato in tutti macOS distribuzioni.
L’exploit è molto efficiente, perché l’applicazione maligno non ha bisogno di privilegi di accesso di amministratore per recuperare le password per l’utente Portachiavi file, e possono anche recuperare il contenuto di altri file Keychain, che memorizzano le password per altri macOS utenti.
Henze non ha pubblicato alcuna prova-del-concetto di codice per sostenere la sua ricerca, tranne che per un video di YouTube, ma un ben rispettato di sicurezza Apple ricercatore confermato in un articolo di Forbes oggi che l’exploit esiste e funziona come descritto in tedesco sito di news intervista.
Henze di non riferire la vulnerabilità di Apple prima di andare pubblico con il suo video. Ha citato la società, la mancanza di un bug bounty program per macOS come il motivo principale. Apple corre bug bounty programmi per altri prodotti, ma non per macOS.
Parlando di ZDNet, Henze ha detto che la sicurezza di Apple squadra aveva raggiunto ieri, dopo che la sua ricerca ha iniziato a ricevere l’attenzione dei media.
Apple team di sicurezza ha chiesto per ulteriori dettagli, ma ha rifiutato a meno che iniziare un bug bounty per macOS, e premiare i ricercatori di sicurezza per i bug che trovi in macOS.
“Anche se sembra che sto facendo tutto questo solo per soldi, questa non è la mia motivazione a tutti, in questo caso,” Henze detto a ZDNet oggi. “La mia motivazione è quello di ottenere di Apple di creare un bug bounty program. Penso che questo è il migliore sia per Apple e per i Ricercatori.”
“Io amo molto i prodotti Apple, e voglio farli più sicuro. E il modo migliore per rendere più sicura sarebbe, a mio parere, se Apple crea un bug bounty program (come di altre grandi aziende hanno già),” il ricercatore ci ha detto.
Deve leggere
5 modi per far rispettare la sicurezza aziendale (TechRepublic)
Le violazioni di dati può sucker-punch. Si preparano a combattere indietro (CNET)
Un portavoce di Apple non ha restituito una richiesta di commento da ZDNet prima della pubblicazione di questo articolo.
Henze macOS zero-day-che si riferiscono a come KeySteal– è un po ‘ simile a un altro macOS zero-day denominato KeychainStealer, scoperto da Patrick Wardle nel settembre 2017. Per coincidenza, Wardle è indipendente Apple esperto di sicurezza che ha confermato Henze zero-day per Forbes prima di oggi.
Più copertura di sicurezza:
Google rilascia Chrome per controllare trapelati i nomi utente e passwordsPentesters violazione 92 per cento delle aziende, in relazione claimsScammer gruppi, sfruttando Gmail ” dot account online fraudApple scusa per FaceTime intercettazioni bug, l’aggiornamento in arrivo la prossima settimana
UE gli ordini di richiamo di bambini smartwatch più grave privacy concernsApple disabilita Gruppo FaceTime functionApple fissa la sua bug di FaceTime. Si otterrà un aggiornamento software presto CNET
Apple enterprise app guerra con Facebook, Google potrebbe aiutare Android TechRepublic
Argomenti Correlati:
Apple
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati