ПОСЛЕДНИЕ НОВОСТИ
$
10
За просмотр новости вы заработаете
10 баллов

Участвуй в работе сайта и зарабатывай!
Узнать подробности и свой рейтинг

GateKeeper по-прежнему уязвим, патч Apple не устранил проблему

Ещё в сентябре 2015 года глава компании Synack Патрик Вордл (Patrick Wardle) обнаружил способ обхода одной из ключевых ступеней защиты Mac OS X — Gatekeeper.

 Вскоре Apple выпустила патч  для этой проблемы и, казалось бы, пользователи Mac могут вздохнуть с облегчением. Однако Патрик Вордл сообщает, что расслабляться рано: Apple выбрала неверный метод для исправления уязвимости, так что угроза до сих пор сохраняется.

Осенью Вордл писал, что Gatekeeper, по сути, верифицирует приложения статически, то есть непосредственно при их установке. Основная задача Gatekeeper: проверить, была ли программа скачана из App Store и подписана ли она доверенным цифровым сертификатом. Автоматически блокируются приложения, полученные из неизвестных источников. Однако после проверки комплекта приложения, система более не интересуется тем, чем занимается  программа. Тогда как приложение вполне может запускать или загружать другие программы или бинарники из той же или относительной директории. Даже если они окажутся вредоносными, Gatekeeper не обратит на это внимания.

Эксперт проиллюстрировал свою мысль на примере приложения Adobe Photoshop, которое подписано известным разработчиком. Тем не менее, Photoshop может скачивать плагины, которые Gatekeeper уже не проверяет, а значит, в них можно внедрить вредоносный код.

С релизом Mac OS X El Capitan 10.11.1 вышло исправление проблемы. Однако Патрик Вордл сообщает, что Apple выпустила не фактический патч, а применила простой черный список. Вместо патча компания подрядила инструмент XProtect следить за подозрительными бинарниками, которые могут оказаться малварью и эксплуатировать уязвимость в Gatekeeper. XProtect просто сравнивает всё с имеющимся черным списком.

Глава Synack отмечает, что в черный список вошло малое количество файлов, включая использованные им образцы. Из-за этого уязвимость по-прежнему представляет угрозу. Вордл считает, что вместо короткого черного списка компании следовало создать систему, которая могла бы фиксировать случаи, когда доверенное приложение пытаются использовать во вред.

Эксперт опубликовал proof-of-concept видео и пообещал рассказать подробности на конференции ShmooCon, которая состоится 17 января.

Понравилась статья? Поделитесь!

Источник

 

Добавить комментарий

Filtered HTML

  • Разрешённые HTML-теги: <em> <strong> <cite> <blockquote> <ul> <ol> <li> <dl> <dt> <dd> <br> <br />
  • Строки и параграфы переносятся автоматически.
  • Search Engines will index and follow ONLY links to allowed domains.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки. Ссылки на сторонние не рекламные источники необходимо вставлять в виде http://orskportal.ru/outlink/адрес...
  • Строки и параграфы переносятся автоматически.
5 + 3 =
Введите ответ в пустое поле. Например для 1+3 введите 4.