עד לאחרונה, לתוכנת TextEdit של אפל, המובנית בתוך MacOS כעורך הטקסט והמסמכים המוגדר כברירת מחדל, היה באג רציני מאוד. זה יכול היה לחשוף את כתובת ה- IP שלך ואת התוכן של ספריות, ובשילוב עם מעללים אחרים יכול אפילו לשמש להפעלת JavaScript כדי להשתלט לחלוטין על ה- Mac שלך.

החדשות הטובות הן שהפגם תוקן על ידי אפל עם שחרורו של macOS 10.15 Catalina באוקטובר 2019, אך היא משמשת כתזכורת חשובה לעדכן את כל מחשבי ה- Mac שברשותך שמריצים גרסאות ישנות יותר MacOS.

  • מה זה המחשב הנייד הטוב ביותר? יש לנו תשובות לשאלותיך 
  • הנה כמה מדהימים עסקאות למחשב נייד
  • Apple Glass עשויה לגנוב את התכונה הטובה ביותר של Apple Watch

מדוע זה חשוב עכשיו? ובכן, מכיוון שהוא מדגיש נושא שאנשים עשויים שלא לשקול בעת פתיחת קבצי טקסט. בגלל האופן שבו TextEdit מטפל בקבצי טקסט, ניתן לגרום להם להיות זדוניים.

לאחרונה פוסט בבלוג על הבאג, שסווג כ CVE-2019-8761, חוקר האבטחה פאולוס ייבאלו ציין כי שומר הסף של אפל לא סימן את הקובץ החשוד, גם אם הוא הורד מהאינטרנט.

הסיבה לכך היא שרוב מוצרי האנטי-וירוס והאבטחה, הסביר, מתייחסים לקובצי טקסט כאל מזיקים. הם אמורים להיות מחרוזות אינרטיות של דמויות שאין להן תכונות נסתרות ולא ניתן לבצע אותן כתוכנית.

פלאי ה- TextEdit

עם זאת, TextEdit אינו רק עורך טקסטים. הוא יכול גם לפתוח קבצי תבנית טקסט עשיר (הפורמט המועדף על TextEdit), מסמכי Word וקבצי HTML (אבני הבניין הבסיסיות באינטרנט).

אז ייבלו תהה מה יקרה אם יכניס קידוד HTML לקובץ טקסט ופתח אותו עם TextEdit.

הנה, פתיחת קובץ הטקסט המכיל HTML ב- TextEdit הספיקה כדי לבצע תכונות HTML ו- CSS בסיסיות ולקרוא למשאבים מקומיים, אך לא להגיע לשירותים מקוונים.

פונה לאינטרנט

עם זאת, משם גילה Yibelo כי על ידי קריאה לפונקציה בשם AutoFS, אשר שולחת בקשה כדי להרכיב כוננים חיצוניים, ניתן היה לשלוח בקשה להתקנת כונן לשרת מרשתת.

פעולה זו תחשוף את כתובת ה- IP של ה- Mac שלך לבעל הדומיין שנקרא. וזה בתורו ייתן להם מושג די טוב לגבי המיקום שלך. המשתמש ב- Mac לא יראה שום אינדיקציה בחלון TextEdit הפתוח שמשהו קורה מאחורי הקלעים.

Yibelo מצא כי ניתן לתכנן קבצי טקסט כדי לרשום את תוכן הספריות ב- Mac של המשתמש, כולל ספריות סיסמאות. זה כשלעצמו אינו מזיק, אך ייבאלו אמר כי ניתן יהיה לעשות שימוש לרעה בפורמט ה- HTML כך שקובץ הטקסט יוכל לשלוח את הפרטים הללו לשרת מרוחק.

שרשרת הרס

סיפר ​​ייבאלו סגן לוח האם שאם הוא ישלב את ניצול ה- TextEdit עם ניצול אחר, שני המנצלים יחד יוכלו לגרום נזק הרבה יותר לביטחון של מק.

לדוגמא, הפגם שלו בשילוב עם CVE-2017-2361, א פגם באופן שבו Safari פותח קבצי עזרה מקומיים, היה מאפשר לקובץ הטקסט לבצע JavaScript ומכאן לעשות כל מה שהוא רוצה.

"וזה בעצם משחק אני מאמין!" ייבלו אמר לסגן האם.

פגם ספארי זה תוקן על ידי אפל בתחילת 2017, אך ייתכן שניתן יהיה לנצל מעללים דומים.

איך להגן על עצמך

עוד לא שמעתם על הבאג הזה כי ייבלו חשף אותו בפני אפל בשנת 2019. זה תוקן בשקט על ידי אפל עם שחרורו של macOS 10.15 Catalina ועדכוני האבטחה במקביל ל- 10.14 Mojave ו- 10.13 High Sierra.

אפל חוקרת טענות לפני שהיא משחררת מידע עליהן או מאשרת אותן. כפי שאתה יכול לראות מה עדכון אבטחה אפל פרסמה לאחר מעשה, היא אכן מכילה התייחסות לפגיעות זו. (פשוט חפש בעמוד "ייבאלו".)

אמנם מאוד לא סביר שתפגע מהותית מהפגם הזה כעת, אך כדאי לזכור זאת כשאתם מתקשרים עם קבצים שנראים מזיקים באופן מקוון.

אם יש לך מחשבי מקינטוש שמריצים גרסאות של MacOS לפני Catalina, כדאי יהיה לעדכן או לאשר תיקון נפרד הוחל אם אינך יכול להשתמש בגרסה מודרנית יותר של MacOS.

כדאי לזכור שגרסאות ישנות יותר של MacOS נפוצות במיוחד בקרב עסקים הנשענים על תוכנות ישנות יותר שאינן תואמות לגרסאות מאוחרות יותר של מערכת ההפעלה. כך שעובדים חרוצים צריכים להמשיך ולהיזהר מקבצי טקסט אקראיים שנשלחים אליכם בדוא"ל, מכיוון שהם יכולים גם להיות נשאים להתקפות כאלה.

  • יותר: התגובה של אפל לתלונות בנושא מונופולים - פשוט בנה אפליקציית אינטרנט

קבל גישה מיידית לחדשות חדשות, הביקורות החמות ביותר, מבצעים מעולים וטיפים מועילים.

תודה שנרשמת למדריך של טום. תקבל דוא"ל אימות בקרוב.

הייתה בעיה. אנא רענן את הדף ונסה שוב.

אין דואר זבל, אנו מבטיחים. תוכל לבטל את הרישום בכל עת ולעולם לא נשתף את פרטיך ללא רשותך.