В утилите MacKeeper для OS X исправлена уязвимость нулевого дня

Брешь существует из-за отсутствия проверки входных данных при выполнении команд с использованием схемы URL.
Разработчики MacKeeper устранили критическую брешь в программном обеспечении, эксплуатация которой позволяла выполнение произвольных команд с привилегиями суперпользователя без ведома пользователя. Уязвимость, затрагивающая версию MacKeeper 3.4, существует из-за отсутствия проверки входных данных при выполнении команд с использованием схемы URL.
Как следует из бюллетеня безопасности, опубликованного на портале Secure Mac, если пользователь уже однажды ввел пароль в ходе работы с MacKeeper, программа больше не потребует повторного введения данных перед выполнением произвольных команд с привилегиями суперпользователя. В том случае, если пользователь не был ранее авторизован, система запросит логин и пароль. При этом злоумышленник, эксплуатирующий брешь, сможет манипулировать текстом аутентификационного диалога, как частью эксплоита, и применить его к чему угодно.
Проблема была обнаружена исследователем безопасности Брэйденом Томасом (Braden Thomas), который продемонстрировал принцип эксплуатации уязвимости на примере специально созданной страницы в web-браузере Safari.
В прошлую пятницу, 8 мая, компания-разработчик приложения выпустила исправленную версию MacKeeper 3.4.1. По данным MacKeeper на момент написания новости, случаев эксплуатации уязвимости зафиксировано не было. 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор В утилите MacKeeper для OS X исправлена уязвимость нулевого дня, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Машинное обучение в Google: Что нового? - 20.11.2018: STFW.Ru: У компания Google в регионе EMEA (Европа, Ближний Восток и Африка) уже шесть


•  СМИ: У Huawei уже готов сгибаемый смартфон с поддержкой 5G, официальная презентация ожидается в 2019 году - 20.11.2018: STFW.Ru: Компания Huawei активно работает над собственным сгибаемым смартфоном,


•  Последнее обновление прошивки Tesla Model 3 усложнило жизнь угонщикам - 20.11.2018: STFW.Ru: Вместе в выпуском последнего обновления прошивки для автомобиля Model 3


•  Международная платёжная система TYME подала иск против НБУ и требует восстановить действие лицензий на работу в Украине - 20.11.2018: STFW.Ru: Международная платёжная система TYME подала судебный иск против НБУ, в


•  Курс Bitcoin опустился ниже отметки $5000 - 20.11.2018: STFW.Ru: О Bitcoin мы уже достаточно давно ничего не писали, поскольку последние пару


•  Карлос Гон арестован. Главу альянса Renault-Nissan-Mitsubishi обвинили в многолетних финансовых махинациях, собираются уволить и (возможно) посадить - 20.11.2018: STFW.Ru: Автомобильную индустрию всколыхнул новый серьезный скандал, затронувший