В утилите MacKeeper для OS X исправлена уязвимость нулевого дня

Stfw.Ru: Брешь существует из-за отсутствия проверки входных данных при выполнении команд с использованием схемы URL.
Разработчики MacKeeper устранили критическую брешь в программном обеспечении, эксплуатация которой позволяла выполнение произвольных команд с привилегиями суперпользователя без ведома пользователя. Уязвимость, затрагивающая версию MacKeeper 3.4, существует из-за отсутствия проверки входных данных при выполнении команд с использованием схемы URL.
Как следует из бюллетеня безопасности, опубликованного на портале Secure Mac, если пользователь уже однажды ввел пароль в ходе работы с MacKeeper, программа больше не потребует повторного введения данных перед выполнением произвольных команд с привилегиями суперпользователя. В том случае, если пользователь не был ранее авторизован, система запросит логин и пароль. При этом злоумышленник, эксплуатирующий брешь, сможет манипулировать текстом аутентификационного диалога, как частью эксплоита, и применить его к чему угодно.
Проблема была обнаружена исследователем безопасности Брэйденом Томасом (Braden Thomas), который продемонстрировал принцип эксплуатации уязвимости на примере специально созданной страницы в web-браузере Safari.
В прошлую пятницу, 8 мая, компания-разработчик приложения выпустила исправленную версию MacKeeper 3.4.1. По данным MacKeeper на момент написания новости, случаев эксплуатации уязвимости зафиксировано не было. 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор В утилите MacKeeper для OS X исправлена уязвимость нулевого дня, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Южная Корея запретила анонимную торговлю криптовалютами, рынок начал падать - 23.01.2018: STFW.Ru: Власти Южной Кореи объявили о запрете любых операций с криптовалютами,


•  «Никакой зарплаты, бонусов или акций за выслугу лет»: Для главы Tesla Илона Маска утвердили новую десятилетнюю систему вознаграждения за выполнение поставленных целей - 23.01.2018: STFW.Ru: Совет директоров компании Tesla разработал для основателя и главы Илона Маска


•  Российский Ми-171А2 успешно испытали при -50°С в Якутии - 23.01.2018: STFW.Ru: источник: news.ykt.ruХолдинг «Вертолеты России» (входит в Госкорпорацию Ростех)


•  Завтра в продажу поступит новогодняя версия Meizu Pro 7 - 23.01.2018: STFW.Ru: Как сообщает Meizu, с 24 января будет доступна версия флагманского смартфона Pro


•  Опубликованы изображения отмененных умных часов Microsoft Xbox Watch - 23.01.2018: STFW.Ru: Как стало известно, несколько лет назад Microsoft работала над умными часами,


•  Россия поднялась в рейтинге лучших стран мира по версии журнала US News&World Report с 27-го на 26-е место - 23.01.2018: STFW.Ru: Россия поднялась на 26-е место в рейтинге лучших стран мира по версии журнала