באתי לעזרת חבר: גוגל חשפה פגיעות במערכת ההפעלה של אפל

צוות גילוי הפגיעויות של גוגל, שזכה לשם Project Zero, חשף בימים אלו פגיעות בקרנל של מערכת ההפעלה macOS אשר יכול לאפשר הזרקת תוכן לתוך הקוד החסוי שאחראי להרצת מחשבי המקינטוש של אפל.

הצוות חשף את הפגיעות הזו, המכונה BuggyCow, בסוף השבוע האחרון – יותר מ-90 יום אחרי שהיא נתגלתה בפועל ודווחה לאפל כדי שתתקן אותה.

התקפה שיכולה לנצל בעיה בדרך בה אפל מגנה על זיכרון המחשבים

לפי הצוות, מדובר בהתקפה שיכולה לנצל בעיה בדרך בה אפל מגנה על זיכרון המחשבים שלה כדי לאפשר גישה לתפקודים שדורשים פריבילגיות גדולות יותר. קוד מרושע יכול להשתמש בזכויות המוגבלות הללו, במקרים מסוימים, לחדור לחלקים יותר שמורים ויותר מאובטחים במחשב.

האקרים למעשה יכולים לנצל את העובדה שבעת שתוכנה חדשה יוצרת מערכת קבצים חדשה בכונן הקשיח ולא משנה קובץ אחד בלבד, מנהל הזיכרון אינו מקבל אזהרה מתאימה. מכיוון שכך יכול האקר להחליף את כל מערכת הקבצים במערכת בעלת נתונים אחרים, ותוך כדי להחליף את המידע בו משתמש קוד שנמצא בהיררכיית פריבילגיות גבוהה יותר.

באופן טכני מדובר בפגיעות שיכולה להשפיע על כל מי שיש לו מחשב נייח או נייד של אפל. עם זאת, מדובר בפגיעות שזקוקה לרמת ביצוע טכני גבוהה מאוד כדי שניתן יהיה לנצל אותה, כך שהסבירות שהיא תתרחש בפועל נמוכה למדי.

"יצרנו קשר עם אפל בנוגע לנושא הזה, ונכון לעכשיו אין תיקון זמין. באפל מתכוונים לפתור את הבעיה הזו בעדכון עתידי, ואנחנו עובדים ביחד כדי להעריך את האפשרות להוציא טלאי", כתב אחד מהמפתחים של גוגל שאחראי לחשיפה.