macOS-da istifadəçi məlumatlarını oğurlamağa imkan vermiş boşluq aşkar edilib

     Microsoft Threat Intelligence mütəxəssisləri macOS sisteminə inteqrasiya olunmuş Spotlight axtarış funksiyasında boşluq aşkar ediblər. Bu boşluq, hakerlərin istifadəçilərin məxfi məlumatlarına çıxış əldə etmələrinə imkan verirdi. Şirkət mütəxəssisləri bu hücum metodunu Sploitlight adlandırıblar, çünki o, Apple-ın müdafiə mexanizmlərini aşmaq üçün Spotlight plaginlərindən istifadə edir. Məlumata görə, problem TCC (Transparency, Consent, and Control) adlı sistemin - yəni tətbiqlərin şəxsi məlumatlara çıxışını idarə edən mexanizmin - yan keçilməsi imkanında idi.

     Boşluq, hakerlərə növbəti məlumatları əldə etməyə imkan verirdi: keşlənmiş məlumatlar, dəqiq geolokasiya, foto və video faylların metadatası, media kitabxanasındakı üz tanıma məlumatları, axtarış tarixçəsi, e-poçtların süni intellekt xülasələri və istifadəçi parametrləri. Apple hər nə qədər Spotlight plaginlərini "sandbox" rejimində təcrid etsə və onların qorunan fayllara çıxışını məhdudlaşdırsa da, Microsoft tədqiqatçıları Spotlight tərəfindən indeksasiya üçün istifadə edilən tətbiqlər toplusunu dəyişdirərək qorunan faylların məzmununu əldə etməyin yolunu tapıblar.

     Microsoft aşkarlanmış boşluq barədə Apple-ı dərhal məlumatlandırıb və tərtibatçılar bu problemi 31 mart tarixində buraxılmış macOS Sequoia 15.4 və iOSmaiyyətə açıqlanmadan əvvəl ar18.4 yeniləmələrində aradan qaldırıblar. Şirkətlərin məlumatına görə, bu boşluq real hücumlarda istifadə olunmayıb, çünki problem ictiadan qaldırılıb. Apple yeniləmə sənədlərində bildirir ki, boşluq məlumatların daha yaxşı filtrdən keçirilməsi yolu ilə aradan qaldırılıb. Bundan əlavə, Apple Microsoft tərəfindən aşkar edilmiş daha iki boşluğu da düzəldib. Bu boşluqlardan biri simvolik keçidlərin yoxlanılması, digəri isə sistem vəziyyətinin idarə olunması ilə bağlı olub.

Bənzər xəbərlər

Təhlükəsizlik

Dələduzlar süni intellekt vasitəsilə pul vəsaitlərini oğurlaya biləcəklər

Süni intellekt sistemlərinin yaradıcıları onların qeyri-qanuni məqsədlərlə istifadəsi məsələsindən narahatdırlar və OpenAI-ın rəhbəri Sam Altman da istisna deyil.

Tech-Biznes

Böyük texnoloji şirkətlər ilin əvvəlindən 100 000-dən çox işçini ixtisar ediblər

2025-ci ildə texnologiya şirkətlərində işdən çıxarılanların sayı 100 000 nəfəri keçərək heyrətamiz bir səviyyəyə çatıb. Intel, Microsoft, Meta və digər aparıcı şirkətlər kütləvi ixtisarlar barədə elan veriblər.

Təhlükəsizlik

Microsoft Sharepoint serverlərinə kiberhücum 2025-ci ilin ən böyüyü ola bilər

Çinlə əlaqəli olduğu güman edilən hakerlər Microsoft SharePoint platformasındakı bir boşluqdan istifadə edərək dünya üzrə təxminən 400 hökumət qurumu, korporasiya və digər təşkilatların sistemlərinə giriş əldə ediblər.

Təhlükəsizlik

Çinli hakerlər ABŞ Milli Nüvə Təhlükəsizliyi İdarəsinə daxil olublar

Microsoft SharePoint platformasında aşkarlanmış təhlükəsizlik boşluğu ilə bağlı səs-küylü hadisə yeni detallar ilə genişlənməkdə davam edir. Daha əvvəl məlumat verilmişdi ki, çinli hakerlər dünyanın müxtəlif ölkələrində 100-dən artıq serveri sındırıblar.

Süni İntellekt

Microsoft Google DeepMind-ın 20-dən çox süni intellekt mütəxəssisini özünə cəlb edib

Son aylar ərzində Microsoft şirkəti süni intellekt sahəsində fəaliyyət göstərən Google DeepMind tədqiqat bölməsindən 20-dən çox əməkdaşı özünə cəlb edib.