Apple випустила оновлення безпеки для iOS, macOS, tvOS, watchOS і web-браузера Safari, що виправляють низку вразливостей, в тому числі активно використовувану zero-day ( CVE-2021-30713 ) в macOS Big Sur.

Проблема пов’язана з дозволами в структурі Apple Transparency, Consent and Control (TCC) у macOS, яка підтримує базу даних згоди кожного користувача. За словами компанії, уразливість могла бути використана в реальних атаках, але компанія не стала ділитися подробицями.

Як відзначили фахівці компанії Jamf, вразливість активно використовувалася операторами шкідливого ПЗ XCSSET, розповсюджуваного з серпня 2020 року через модифіковані проекти Xcode IDE в репозиторіях GitHub. Програма створює шкідливі пакети в легітимних додатках, встановлених на цільовій системі.

“Експлуатація уразливості дозволяє зловмисникові отримати повний доступ до диска, записи екрану або інші дозволи, не вимагаючи згоди користувача”, – пояснили дослідники.

Хакери могли використовувати пристрої, на яких було встановлено XCSSET, з метою отримання дозволів для розкрадання конфіденційної інформації. Зокрема, шкідлива програма перевіряє дозволу на створення знімків екрану зі списку встановлених додатків, таких як Zoom, Discord, WhatsApp, Slack, TeamViewer, Upwork, Skype і Parallels Desktop, щоб впровадити шкідливе ПЗ (“avatarde.app”) в папку програми.

Також були виправлені дві інших активно експлуатовані проблеми ( CVE-2021-30663 і CVE-2021-30665 ) в браузерному движку WebKit, що зачіпають пристрої Safari, Apple TV 4K і Apple TV HD.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.