Το πρόγραμμα αποκάλυψης ασφάλειας Project Zero της Google αποδεικνύει και πάλι ένα ενδιαφέρον θέμα. Η εταιρεία έχει αναφέρει λεπτομερώς ένα πολύ σοβαρά ελάττωμα του πυρήνα macOS που επιτρέπει στους χρήστες να τροποποιήσουν μια εικόνα του συστήματος αρχείων που έχει τοποθετηθεί από το χρήστη χωρίς το υποσύστημα εικονικής διαχείρισης να το αντιληφθεί και θεωρητικά αφήνει τον επιτιθέμενο να εκτελέσει διάφορες εργασίες του. Η Apple εργάζεται σε μια ενημερωμένη έκδοση του κώδικα, αλλά η αποκάλυψη μπροστά από την επιδιόρθωση θα μπορούσε να αφήσει τους χρήστες Mac ευάλωτους για κάποιο χρονικό διάστημα μέχρι να είναι όλα έτοιμα.
Η Google ενημέρωσε την Apple για το σφάλμα τον Νοέμβριο του 2018, αλλά η αυτόματη πολιτική αποκάλυψης των 90 ημερών σημαίνει ότι θα δημοσιοποιήσει τα τρωτά σημεία ασφαλείας, ανεξάρτητα από το αν υπάρχει ή όχι μια επιδιόρθωση. Ενώ η εταιρεία προσφέρει μια περίοδο χάριτος 14 ημερών για εταιρείες που δεν γνωρίζουν εκ των προτέρων ότι θα έχουν έτοιμες ενημερώσεις εγκαίρως, αλλά άγνωστο είναι για το πότε η Apple θα ολοκληρώσει τις εργασίες της πάνω στο patch του kernel.
Δεν είναι σαφές πόσο εύκολο θα ήταν να εκμεταλλευτεί κανείς αυτή
την όλη κατάσταση. Εν τω μεταξύ, θα θελήσετε να είστε ιδιαίτερα προσεκτικοί
σχετικά με τους ιστότοπους που επισκέπτεστε και τα αρχεία που κατεβάζετε. Μια
επιτυχημένη επίθεση θα μπορούσε θεωρητικά να φέρει σοβαρές αλλαγές στο macOS
χωρίς να σβήσουν τις διασφαλίσεις σε επίπεδο συστήματος και ίσως να μην
γνωρίζετε τη ζημιά.
[via]