اپل آسیب‌پذیری macOS Zero Day را که توسط بدافزار XCSSET macOS مورد سوء استفاده قرار گرفته بود، برطرف کرد.

اپل به‌روزرسانی‌های امنیتی را برای انواع محصولات خود منتشر کرده است، از جمله وصله‌ای برای سه آسیب‌پذیری روز صفر macOS و tvOS. این وصله شامل یک اصلاح آسیب‌پذیری روز صفر است که نزدیک به یک سال است که توسط گروه بدافزار XCSSET در طبیعت مورد سوء استفاده قرار گرفته است. 

Apple said it was aware of allegations that the security flaws “may have been actively exploited” in all three cases, but it didn’t go into detail about the assaults or threat actors who might have exploited the zero-days. 

WebKit on Apple TV 4K and Apple TV HD devices is affected by two of the three zero-days (CVE-2021-30663 and CVE-2021-30665). Webkit is an HTML rendering engine used by Apple’s web browsers and applications on its desktop and mobile platforms, including iOS, macOS, tvOS, and iPadOS.Threat actors might use maliciously generated web content to attack the two vulnerabilities, which would allow arbitrary code execution on unpatched devices due to a memory corruption issue. 

سومین روز صفر (CVE-2021-30713) یک مشکل مجوز است که در چارچوب شفافیت، رضایت و کنترل (TCC) یافت می شود که بر دستگاه های MacOS Big Sur تأثیر می گذارد. چارچوب TCC یک زیرسیستم macOS است که از دسترسی برنامه های نصب شده به اطلاعات حساس کاربر بدون درخواست مجوز صریح از طریق یک پیام بازشو جلوگیری می کند. یک برنامه مخرب ساخته شده می تواند برای سوء استفاده از این مشکل، دور زدن تنظیمات حریم خصوصی و دسترسی به داده های حساس کاربر استفاده شود. 

While Apple didn’t provide much detail about how the three zero-days were exploited in assaults, Jamf researchers found that the macOS zero-day (CVE-2021-30713) patched was leveraged by the XCSSET malware to get beyond Apple’s TCC privacy measures. 

According to the researchers, “the exploit in question could allow an attacker to gain Full Disk Access, Screen Recording, or other permissions without requiring the user’s explicit consent — which is the default behavior.” 

“We, the members of the Jamf Protect detection team, discovered this bypass being actively exploited during the additional analysis of the XCSSET malware, after noting a significant uptick of detected variants observed in the wild. The detection team noted that once installed on the victim’s system, XCSSET was using this bypass specifically for the purpose of taking screenshots of the user’s desktop without requiring additional permissions.” 

Trend Micro’s Mac Threat Response and Mobile Research teams first detected XCSSET in August 2020. According to the researchers, the vulnerability can be used to provide malicious applications with permissions such as disk access and screen recording. As a result of this, threat actors will be able to take screenshots of affected PCs. 

Last month, Trend Micro discovered a new XCSSET version that was upgraded to work with the newly launched Apple-designed ARM Macs. The CVE-2021-30713 vulnerability was discovered shortly after Craig Federighi, Apple’s head of software stated that macOS has an “unacceptable” level of malware, which he linked to the diversity of software sources. 

اپل در اوایل این ماه به دو روز صفر iOS در موتور Webkit پرداخت و اجازه اجرای کد از راه دور دلخواه (RCE) را در دستگاه‌های آسیب‌پذیر تنها با بازدید از وب‌سایت‌های مخرب داد. علاوه بر این، اپل برای تعدادی از باگ‌های روز صفر که در ماه‌های اخیر در طبیعت مورد سوء استفاده قرار گرفته‌اند، اصلاحاتی منتشر کرده است، از جمله یکی که در ماه آوریل در macOS برطرف شد و دسته‌ای از آسیب‌پذیری‌های iOS دیگر که در ماه‌های قبل برطرف شدند. .