[Перевод] Я могу стать Apple, и ты тоже
Публичное раскрытие уязвимости в сторонней проверке подписи кода Apple
В отличие от некоторых предыдущих работ, данная уязвимость не требует прав администратора, не требует JIT-кода или повреждения памяти для обхода проверки подписи кода. Всё что нужно — правильно отформатированный файл Fat/Universal, и проверка подписи кода покажет валидный результат.
Резюме
Найденный обход применяемого сторонними разработчиками API для подписи кода позволяет представить любой код как подписанный Apple.
Все известные вендоры и проекты с открытым исходным кодом уведомлены (см. список ниже). Для них доступны патчи.
Есть вероятность, что проблема затрагивает другие сторонние программы, где используются официальные API подписи кода от Apple.
Разработчики несут ответственность за правильное использование API подписи кода. Есть инструменты демо-взлома (PoC) для тестов.
Относится только к macOS и более старым версиям OSX.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Мультирегиональный поиск. Техническая сторона продвижения федеральных сетей клиник
- 10 из 10: в firewall PAN-OS от Palo Alto Networks найдена критическая 0-day-уязвимость. Что происходит?
- Обзор инструмента DefectDojo: почему его выбирают?
- USB Rubber Ducky своими руками. По-настоящему
- Как распознать мошенническое письмо. Памятка безопаснику для обучения пользователей основам ИБ
- [Перевод] Настройка сервиса аутентификации OpenAM и шлюза авторизации OpenIG для защиты приложений
- Интранет: как повысить эффективность целой компании с помощью одного инструмента
- Жажда скорости. Сравниваем работу Hashcat на ВМ, ПК и ноутбуках с разными CPU и GPU
- Brand Analytics запустила BrandGPT — ИИ-ассистента аналитика соцмедиа и СМИ
- Digital Rosatom: Росатом выступил инициатором создания комплексного цифрового решения для строительства сложных индустриальных объектов