A A+ A++

Ta wiadomość powinna zainteresować użytkowników urządzeń macOS i iOS. Okazuje się, że przez blisko dziesięć lat w uruchamianych na nich aplikacjach mógł znajdować się malware, który był wykorzystywany przez hakerów.

Podatności zostały zlikwidowana kilkanaście miesięcy temu, ale fakt ten ujawniono dopiero teraz. Znajdowały się w serwerze pełniącym rolę repozytorium, w którym deweloperzy przechowują projekty open source tworzone przez użyciu języków programowania Swift i Objective-C. W repozytorium przechowywane są robocze projekty kodu noszące nazwę CocoaPods i to właśnie one były atakowane przez hakerów.

Ogółem zidentyfikowana trzy podatności, które zostały zlikwidowane pod koniec zeszłego roku. Najgroźniejsza z nich została oznaczona symbolem CVE-2024-38366 (10 punktów w skali złośliwości CVSS). Podatność wykorzystuje niezabezpieczony proces weryfikacji poczty elektronicznej w celu uruchomienia dowolnego kodu na serwerze Trunk, który można następnie wykorzystać do manipulowania pakietami lub do ich zamiany.

Zobacz również:

Druga podatność została oznaczona symbolem CVE-2024-38368 (9,3 punktów w skali złośliwości CVSS). Pozwala ona atakującemu przejmować kontrolę nad procesem Claim Your Pods, dzięki czemu haker może wprowadzać do kodu źródłowego dowolne poprawki, infekując w ten sposób aplikację.

W serwerze zidentyfikowano również trzeci problem w komponencie weryfikacji adresu e-mail (CVE-2024-38367, wynik CVSS: 8,2), który może skłonić odbiorcę do kliknięcia pozornie nieszkodliwego linku weryfikacyjnego, podczas gdy w rzeczywistości przekierowuje on żądanie do domeny kontrolowanej przez osobę atakującą w celu uzyskania dostępu do tokenów sesji programisty.

Oryginalne źródło: ZOBACZ
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułJak przewozić dziecko na rowerze? Dwa bezpieczne sposoby
Następny artykułX lat Fundacji Wybudowania