Microsoft advarer om macOS-privatlivsfejl, opfordrer brugerne til at opdatere

I lidt af en vending har Microsoft advaret Apple macOS-brugere om at opdatere deres enheder til det seneste patch-niveau, efter at virksomheden afslørede en fejl i Apples Transparency, Consent, and Control (TCC) teknologi, som kunne tillade angribere at installere spyware.

Den såkaldte "powerdir" sårbarhed (CVE-2021-30970) blev opdaget af Microsoft og videregivet til Apple gennem Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR), og giver angribere mulighed for at forfalske funktionen Transparens, Consent og Control.

TCC er en teknologi, der dateres til 20212, som er designet til at forhindre apps i at få adgang til brugernes personlige oplysninger uden deres forudgående samtykke og viden.

"Vi opdagede, at det er muligt programmæssigt at ændre en målbrugers hjemmemappe og plante en falsk TCC-database, som gemmer samtykkehistorikken for app-anmodninger. Hvis den udnyttes på ikke-patchede systemer, kan denne sårbarhed give en ondsindet aktør mulighed for potentielt at orkestrere et angreb baseret på brugerens beskyttede personlige data. For eksempel kunne angriberen kapre en app installeret på enheden – eller installere deres egen ondsindede app – og få adgang til mikrofonen for at optage private samtaler eller tage skærmbilleder af følsomme oplysninger vist på brugerens skærm.”, sagde Microsoft i et blogindlæg.

Apple frigav en rettelse til problemet den 13. december 2021, og Microsoft opfordrer macOS-brugere til at anvende rettelserne så hurtigt som muligt.

via TilI