Breaking News

เตือนช่องโหว่บน macOS เสี่ยงถูก App สอดส่องดูประวัติการใช้ Safari ได้

Jeff Johnson นักพัฒนาแอปพลิเคชันได้ออกมาเปิดเผยช่องโหว่ใหม่บน macOS Mojave ซึ่งช่วยให้แอปพลิเคชันอื่นในเครื่อง รวมไปถึงมัลแวร์สามารถเข้าถึงข้อมูลที่จัดเก็บอยู่ในโฟลเดอร์หวงห้าม เช่น ประวัติการใช้ Safari ของผู้ใช้ได้ จนถึงตอนนี้ยังไม่มีแพตช์สำหรับอุดช่องโหว่

โดยปกติแล้ว บางโฟลเดอร์บน macOS Mojave จะมีการจำกัดสิทธิ์ในการเข้าถึงมาจากโรงงานด้วยเหตุผลด้านความมั่นคงปลอดภัยของข้อมูล เช่น ~/Library/Safari ซึ่งจะอนุญาตให้บางแอปพลิเคชัน เช่น Finder เข้าถึงได้เท่านั้น อย่างไรก็ตาม Johnson กลับค้นพบวิธีบายพาสการจำกัดสิทธิ์ในการเข้าถึงเหล่านั้น ซึ่งช่วยให้แอปพลิเคชันทั่วไป รวมไปถึงมัลแวร์สามารถเข้าถึงโฟลเดอร์หวงห้าม เช่น ~/Library/Safari ได้โดยไม่จำเป็นต้องได้รับการอนุญาตจากผู้ใช้หรือระบบปฏิบัติการ ส่งผลให้สามารถดูประวัติการใช้ Safari ของผู้ใช้ได้

Johnson ระบุว่า ช่องโหว่นี้ส่งผลกระทบบน macOS Mojave ทุกเวอร์ชัน รวมไปถึง Mojave 10.14.3 Supplemental Update ที่เพิ่งออกมาเมื่อวันที่ 7 กุมภาพันธ์ที่ผ่านมาด้วย อย่างไรก็ตาม ช่องโหว่นี้ใช้ไม่ได้กับ Safari Extension และ Sandboxed Apps
Johnson ได้รายงานช่องโหว่นี้ไปยังทีมรักษาความมั่นคงปลอดภัยของ Apple เรียบร้อย และคาดว่าจะยังไม่มีแพตช์สำหรับอุดช่องโหว่ออกมาจนกว่าจะถึงรอบอัปเดตถัดไป

Johnson จึงยังไม่เปิดเผยรายละเอียดเชิงเทคนิคเพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีใช้ช่องโหว่นี้ในทางที่ผิด

รายละเอียดเพิ่มเติม: https://lapcatsoftware.com/articles/mojave-privacy3.html

ที่มา: https://thehackernews.com/2019/02/macos-mojave-privacy-hack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

10 เครื่องมือ ที่ผู้ดูแลระบบ VMware ควรมีติดเครื่องไว้

ผู้ดูแลระบบที่มีหน้าที่ในการดูแลระบบ VMware ขององค์กร ส่วนใหญ่จะมีเครื่องมือที่ช่วยอำนวยความสะดวกและเพิ่มความรวดเร็วในการบริหารจัดการ เรามาดูกันว่า 10 เครื่องมือที่ผู้ดูแลระบบควรมีติดเครื่องไว้มีอะไรบ้าง Credit: ShutterStock.com

รถยนต์ Tesla ถูกเจาะสำเร็จ ในงาน Pwn2Own 2019

นักวิจัยทางด้านความปลอดภัยสามารถแฮ็ครถยนต์ Tesla Model 3 สำเร็จ ในวันสุดท้ายของงาน Pwn2Own 2019 ที่กำลังจัดขึ้นที่แวนคูเวอร์ ประเทศแคนาดา Credit: Pwn2Own