Новости компьютерной безопасности:

  Latest News

macOS Calendar Zero-Click Vulnerability Let Attackers Execute Malicious Code

С сайта: Vulnerability(cybersecuritynews.com)

macOS Calendar Zero-Click Vulnerability Let Attackers Execute Malicious Code

Author: Guru Baran

A critical zero-click vulnerability has been discovered in macOS Calendar, allowing attackers to add or delete arbitrary files within the Calendar sandbox environment and execute malicious code without any user interaction.

The vulnerability, found by security researcher Mikko Kenttala in 2022, could also be combined with a security protection evasion in Photos to compromise users’ sensitive iCloud Photos data.

The exploit begins with an attacker sending a malicious calendar invite containing a file attachment with an unsanitized filename. This allows the attacker to perform a directory traversal attack and place the file in unintended locations on the victim’s filesystem.

The vulnerability, tracked as CVE-2022-46723, enables attackers to overwrite or delete files within the Calendar app’s filesystem. Attackers could then escalate the attack by injecting malicious calendar files designed to execute code when macOS is upgraded, particularly from Monterey to Ventura.

These injected files included events with alert functionalities that would trigger when the system processed calendar data. The files would contain code to automatically launch .dmg images and .url shortcuts, eventually leading to remote code execution (RCE).

To demonstrate the severity of the exploit, Kenttala showed how an attacker could abuse Photos to leak private user pictures stored on iCloud.

cyber security newsAttack Chain

Apple’s Response
Apple has fixed all of the vulnerabilities between October 2022 and September 2023. The fixes involved tightening file permissions within the Calendar app and adding additional security layers to prevent the directory traversal exploit.

To protect against zero-click vulnerabilities like this one, users are advised to keep their software up to date, as Apple frequently releases patches addressing security flaws. Additionally, restricting apps’ access to sensitive data, such as calendars and photos, can help strengthen device security.

This vulnerability highlights the ongoing threat of increasingly sophisticated attacks targeting users’ private data. Staying vigilant and promptly applying security updates remain crucial in mitigating these risks.



#Cyber_Security #Cyber_Security_News #Vulnerability #cyber_security_news #vulnerability

Оригинальная версия на сайте: macOS Calendar Zero-Click Vulnerability Let Attackers Execute Malicious Code
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.