Apple đã vá lỗ hổng bảo mật do Microsoft phát hiện
Theo The Hacker News, Microsoft vừa công bố chi tiết về lỗ hổng bảo mật trên hệ điều hành macOS của Apple. Lỗi này cho phép tin tặc vượt qua các kiểm soát quyền riêng tư trong trình duyệt Safari. Dù hiện tại lỗ hổng được vá nhưng có khả năng nó đã bị khai thác để truy cập trái phép vào dữ liệu cá nhân của người dùng.
Lỗ hổng có tên "HM Surf" và được gán mã nhận dạng CVE-2024-44133, liên quan đến hệ thống quản lý quyền riêng tư Transparency, Consent, Control (TCC) của Apple. Hệ thống TCC trong hệ điều hành macOS giúp bảo vệ người dùng bằng cách yêu cầu các ứng dụng phải xin phép trước khi truy cập vào thông tin cá nhân.
Microsoft nhận định tin tặc có thể đã dùng công cụ "dscl" để khai thác lỗi HM Surf, thay đổi thư mục chính của người dùng mà không cần quyền truy cập TCC. Từ đó hacker chỉnh sửa các tập tin cấu hình nhạy cảm trong thư mục Safari như PerSitePreferences.db. Kẻ tấn công thậm chí có thể ghi lại toàn bộ hình ảnh từ camera hoặc âm thanh từ micro mà người dùng không hay biết. Các trình duyệt bên thứ ba như Chrome hay Firefox không gặp phải vấn đề này vì không có quyền đặc biệt như Safari.
Microsoft cũng cảnh báo về hoạt động đáng ngờ từ một phần mềm quảng cáo có tên là AdLoad có thể đã khai thác lỗ hổng này. Apple đã khắc phục lỗ hổng trong bản cập nhật macOS Sequoia 15 bằng cách loại bỏ đoạn mã dễ bị khai thác. Để đảm bảo an toàn, người dùng nên cập nhật macOS lên phiên bản mới nhất.
Bình luận (0)