కొవ్వు బైనరీలు కొత్త మాకోస్ దుర్బలత్వానికి కీని పట్టుకోగలవు

వార్తలు
ఆపిల్ / కొవ్వు బైనరీలు కొత్త మాకోస్ దుర్బలత్వానికి కీని పట్టుకోగలవు 1 నిమిషం చదవండి

ఆపిల్, ఇంక్., సి-నెట్



మాకోస్ సురక్షితమైన యునిక్స్ పర్యావరణంగా పనిచేయడానికి ఖ్యాతిని కలిగి ఉన్నప్పటికీ, ఆపరేటింగ్ సిస్టమ్ యొక్క భద్రతా సేవలను మోసగించడానికి మూడవ పార్టీ డెవలపర్లు సిద్ధాంతపరంగా ఆపిల్ యొక్క కోడ్ సంతకం API ని ఉపయోగించవచ్చని తెలుస్తోంది. ఈ సాధనాలు అప్పుడు పొందుపరిచిన హానికరమైన కోడ్ ఆపిల్ చేత సంతకం చేయబడిందని తప్పుగా నమ్ముతారు మరియు అందువల్ల అది ఏమి చేసినా అమలు చేయడం సురక్షితం.

విశ్వసనీయమైన కోడ్‌ను కలుపుటకు కోడ్ సంతకం ఒక అద్భుతమైన మార్గం, తద్వారా సిస్టమ్‌లో నడుస్తున్న ఏకైక ప్రక్రియలు అమలు చేయడానికి సురక్షితమైనవి. మాకోస్ మరియు ఐఓఎస్ రెండూ మాక్-ఓ బైనరీలను మరియు అప్లికేషన్ కట్టలను ధృవీకరించడానికి సంతకాలను ఉపయోగిస్తాయి, అయితే వారానికి ముందు నిపుణులు ఈ వ్యవస్థను అణగదొక్కడానికి ఒక మార్గాన్ని కనుగొన్నారు.



ఇన్ఫోసెక్ పరిశోధకుల అభిప్రాయం ప్రకారం, అధిక శాతం భద్రతా ఉత్పత్తులు క్రిప్టోగ్రాఫిక్ సంతకాలను ధృవీకరించే తప్పు పద్ధతిని ఉపయోగిస్తాయి, ఇవి ఆపిల్ సంతకం చేసిన సంతకం చేయని కోడ్‌ను వీక్షించేలా చేస్తాయి.



ఆపిల్ యొక్క సొంత సాధనాలు API లను సరిగ్గా అమలు చేసినట్లు తెలుస్తోంది. అందువల్ల దుర్బలత్వాన్ని ఉపయోగించుకునే పద్ధతి కొంచెం బేసి మరియు కొవ్వు బైనరీలు ఎలా పని చేస్తాయనే దానిపై కొంతవరకు ఆధారపడతాయి.



ఉదాహరణకు, ఒక భద్రతా పరిశోధకుడు ఆపిల్ సంతకం చేసిన చట్టబద్ధమైన ప్రోగ్రామ్‌ను కలిపి i386 కంపైల్ చేసిన బైనరీతో కలిపాడు కాని x86_64 సిరీస్ మాకింతోష్ కంప్యూటర్ల కోసం.

అందువల్ల దాడి చేసేవారు శుభ్రమైన మాకోస్ ఇన్‌స్టాలేషన్ నుండి చట్టబద్ధమైన బైనరీని తీసుకొని దానికి ఏదైనా జోడించాలి. క్రొత్త బైనరీలోని CPU రకం పంక్తి హోస్ట్ చిప్‌సెట్‌కు స్థానికం కాదని అనిపించేలా వింతగా మరియు చెల్లనిదిగా సెట్ చేయాలి, ఎందుకంటే ఇది కెర్నల్‌ను చట్టబద్ధమైన కోడ్‌ను దాటవేసి, ఏకపక్షంగా అమలు చేయడం ప్రారంభిస్తుంది ప్రాసెస్‌లు తరువాత లైన్‌లో చేర్చబడతాయి.

అయితే, ఆపిల్ యొక్క సొంత ఇంజనీర్లు ఈ రచన యొక్క సమయానికి ముప్పును అంతగా చూడలేరు. దోపిడీని వ్యవస్థాపించడానికి వినియోగదారులను అనుమతించడానికి సామాజిక ఇంజనీరింగ్ లేదా ఫిషింగ్ దాడి అవసరం. ఏదేమైనా, అనేక మూడవ పార్టీ డెవలపర్లు పాచెస్ జారీ చేశారు లేదా వాటిని జారీ చేయడానికి ప్రణాళిక వేశారు.



ఏదైనా ప్రభావిత భద్రతా సాధనాలను ఉపయోగిస్తున్న వినియోగదారులు భవిష్యత్తులో సమస్యలను నివారించడానికి పాచెస్ అందుబాటులోకి వచ్చిన వెంటనే అప్‌డేట్ చేయాలని కోరారు, అయినప్పటికీ ఈ దోపిడీ యొక్క ఉపయోగం ఇంకా తలెత్తలేదు.

టాగ్లు ఆపిల్ భద్రత మాకోస్