Специалисты компании Apple выпустили обновления безопасности для OS, macOS, tvOS, watchOS, и web-браузера  Safari, исправляющие ряд уязвимостей, в том числе активно используемую уязвимость нулевого дня ( CVE-2021-30713 ) в macOS Big Sur.

Проблема связана с разрешениями в структуре Apple Transparency, Consent and Control (TCC) в macOS, которая поддерживает базу данных согласия каждого пользователя. По словам техногиганта, уязвимость могла быть использована в реальных атаках.

Как отметили специалисты компании Jamf, уязвимость активно использовалась операторами вредоносного ПО XCSSET, распространяемого с августа 2020 года через модифицированные проекты Xcode IDE в репозиториях GitHub. Программа создает вредоносные пакеты в легитимных приложениях, установленных на целевой системе.

«Эксплуатация уязвимости позволяет злоумышленнику получить полный доступ к диску, записи экрана или другие разрешения, не требуя согласия пользователя», — пояснили исследователи.

Также были исправлены две других активно эксплуатируемые проблемы ( CVE-2021-30663 и CVE-2021-30665 ) в браузерном движке WebKit, затрагивающие устройства Safari, Apple TV 4K и Apple TV HD.

Источник: securitylab.ru