Apple hat es versäumt, einen Fehler in macOS Ventura zu beheben App-Verwaltungsfunktion nach Angaben eines Entwicklers, der am Wochenende Einzelheiten des Exploits veröffentlichte, seit mehr als 10 Monaten.
Jeff Johnson hat den Fehler erstmals in seinem Blog gemeldet im Oktober 2022, einige Tage nachdem er Apple darüber informiert hatte. Es geht um eine Funktion im letztjährigen macOS Ventura, die sicherstellen soll, dass böswillige Akteure keine böswilligen Updates für bereits installierte Apps veröffentlichen können.
Im vergangenen Herbst sagte Johnson jedoch, er habe „gefunden“. [an] App-Management-Umgehung, die keinen vollständigen Festplattenzugriff erfordert.“ Damals lehnte er es ab, Details zu diesem Fehler anzugeben, um Apple Zeit zu geben, ihn zu beheben. Zehn Monate später ist es jedoch immer noch ein Problem und Johnsons Geduld ist am Ende.
Als AppleInsider berichtetJohnson veröffentlichte eine aktualisierter Blogbeitrag über das Wochenende, das die Schwachstelle ans Tageslicht bringt. Er „entdeckte – fast zufällig –, dass eine Sandbox-App Dateien ändern konnte, die sie nicht ändern sollte: Dateien im Paket einer notariell beglaubigten App, die angeblich durch App Management-Sicherheit geschützt waren.“
Die Verzögerung sei „absurd“, so Johnson, der sagt, er habe „jegliches Vertrauen in Apple verloren, das Problem rechtzeitig anzugehen“.
Die Veröffentlichung dieses neuesten Blog-Beitrags bedeutet, dass Johnson „die Möglichkeit opfert, einen zu erhalten.“ Apple-Sicherheitsprämie“, obwohl er anerkennt, dass „Apple kein Versprechen gemacht hat, irgendetwas zu zahlen“ und keine Auszahlungen vornimmt, bis ein Problem behoben ist.
Von unseren Redakteuren empfohlen
„Ich könnte also ewig auf nichts warten“, fügt er hinzu. „Bisher hat Apple mein Schweigen für 0 US-Dollar und nur die vage Möglichkeit einer zukünftigen Zahlung ‚erkauft‘.“
Johnson hat ein Xcode-Beispielprojekt als Demo erstellt, das Sie herunterladen können. es ist in seinem verlinkt Post. Er veröffentlichte auch a Folgebeitrag „Damit wird versucht, die Schwachstelle auf eine Weise zu erklären, die weniger technisch und für Nicht-Entwickler benutzerfreundlicher ist.“
Gefällt Ihnen, was Sie gerade lesen?
Melden Sie sich an für SecurityWatch Newsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich damit einverstanden Nutzungsbedingungen Und Datenschutzrichtlinie. Sie können den Newsletter jederzeit abbestellen.