ADPT

เตือนช่องโหว่บน macOS เสี่ยงถูก App สอดส่องดูประวัติการใช้ Safari ได้

Jeff Johnson นักพัฒนาแอปพลิเคชันได้ออกมาเปิดเผยช่องโหว่ใหม่บน macOS Mojave ซึ่งช่วยให้แอปพลิเคชันอื่นในเครื่อง รวมไปถึงมัลแวร์สามารถเข้าถึงข้อมูลที่จัดเก็บอยู่ในโฟลเดอร์หวงห้าม เช่น ประวัติการใช้ Safari ของผู้ใช้ได้ จนถึงตอนนี้ยังไม่มีแพตช์สำหรับอุดช่องโหว่

โดยปกติแล้ว บางโฟลเดอร์บน macOS Mojave จะมีการจำกัดสิทธิ์ในการเข้าถึงมาจากโรงงานด้วยเหตุผลด้านความมั่นคงปลอดภัยของข้อมูล เช่น ~/Library/Safari ซึ่งจะอนุญาตให้บางแอปพลิเคชัน เช่น Finder เข้าถึงได้เท่านั้น อย่างไรก็ตาม Johnson กลับค้นพบวิธีบายพาสการจำกัดสิทธิ์ในการเข้าถึงเหล่านั้น ซึ่งช่วยให้แอปพลิเคชันทั่วไป รวมไปถึงมัลแวร์สามารถเข้าถึงโฟลเดอร์หวงห้าม เช่น ~/Library/Safari ได้โดยไม่จำเป็นต้องได้รับการอนุญาตจากผู้ใช้หรือระบบปฏิบัติการ ส่งผลให้สามารถดูประวัติการใช้ Safari ของผู้ใช้ได้

Johnson ระบุว่า ช่องโหว่นี้ส่งผลกระทบบน macOS Mojave ทุกเวอร์ชัน รวมไปถึง Mojave 10.14.3 Supplemental Update ที่เพิ่งออกมาเมื่อวันที่ 7 กุมภาพันธ์ที่ผ่านมาด้วย อย่างไรก็ตาม ช่องโหว่นี้ใช้ไม่ได้กับ Safari Extension และ Sandboxed Apps
Johnson ได้รายงานช่องโหว่นี้ไปยังทีมรักษาความมั่นคงปลอดภัยของ Apple เรียบร้อย และคาดว่าจะยังไม่มีแพตช์สำหรับอุดช่องโหว่ออกมาจนกว่าจะถึงรอบอัปเดตถัดไป

Johnson จึงยังไม่เปิดเผยรายละเอียดเชิงเทคนิคเพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีใช้ช่องโหว่นี้ในทางที่ผิด

รายละเอียดเพิ่มเติม: https://lapcatsoftware.com/articles/mojave-privacy3.html

ที่มา: https://thehackernews.com/2019/02/macos-mojave-privacy-hack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ASUS ส่ง ‘ExpertBook B9’ อัพเกรดใหม่เดินหน้าบุกตลาดโน้ตบุ๊กกลุ่มธุรกิจ ชูน้ำหนักสุดเบาเพียง 1 กิโลกรัม และระบบความปลอดภัยระดับองค์กร พร้อมขยายตลาดเจาะกลุ่มการศึกษาเปิดตัว ‘ASUS BR1100’ สำหรับเด็กวัยประถมศึกษา

เอซุส (ประเทศไทย) จำกัด เปิดตัวสองโน้ตบุ๊กใหม่ในกลุ่มผลิตภัณฑ์องค์กร (Commercial) นำโดยโน้ตบุ๊กธุรกิจ ASUS ExpertBook B9 (B9400) รุ่นล่าสุดประจำปี 2021 ที่มาพร้อมการอัพเกรดใหม่ ตอบโจทย์คนทำงานยิ่งขึ้น พร้อมเปิดตลาดการศึกษา …

[Guest Post] Huawei หัวเว่ย เปิดศูนย์ความปลอดภัยทางไซเบอร์และความโปร่งใสด้านการปกป้อง ความเป็นส่วนตัวระดับโลก ที่ใหญ่ที่สุดในประเทศจีน

พร้อมเดินหน้าสนับสนุนการพัฒนาศักยภาพในระดับอุตสาหกรรม แบ่งปันความรู้ และสร้างความร่วมมือที่แข็งแกร่งมากขึ้น