Уязвимость в брандмауэре Little Snitch опасна для macOS в целом

Александр Панасенко 20 Июля 2016 - 13:07

...

Уязвимость в брандмауэре Little Snitch опасна для macOS в целом

Патрик Уордл (Patrick Wardle), глава компании Synack, рассказал об уязвимости в межсетевом экране для Mac OS X (теперь macOS) — Little Snitch. Незначительный на первый взгляд баг может привести к полной компрометации: злоумышленник сможет получить в системе root-права и выполнить произвольный код в контексте ядра.

Еще в январе 2016 года Уорд обнаружил, что в Little Snitch наличествует уязвимость типа heap overflow, которая позволяет локальному пользователю или непривилегированной малвари повысить свои права в системе до уровня root и выполнить неподписанный код непосредственно в ядре.

О проблеме Уордл сообщил 17 января, и через одиннадцать дней уязвимость была исправлена с выходом версии 3.6.2. Компания Objective Development, разработавшая Little Snitch сообщает, что январская версия и все последующие уже не подвержены означенному багу. Также разработчики отмечают, что у них и Патрика Уордла нет информации о том, что брешь использовалась злоумышленниками, пишет xakep.ru.

Хотя проблему устранили довольно быстро, Уордл рассказал журналистами издания SecurityWeek, что он остался недоволен действиями Objective Development. Дело в том, что при описании бага разработчики предпочли отделаться общими фразами, тогда как по мнению исследователя: «это серьезная и редкая проблема, способная спровоцировать kernel panic». Уордл склонен считать, что опасность уязвимости занизили совершенно умышленно.

Помимо обнаружения проблемы с переполнением хипа исследователь сумел обойти брандмауэр несколькими путями, в том числе, симулируя взаимодействие с пользователем и обманывая правила. Уордл даже сравнил Little Snitch со встроенным файрволом Windows, каким тот был десять лет назад. При этом исследователь признает, что Little Snitch в целом — это хороший продукт, которым он пользуется сам.

Подробно о найденных брешах Уордл обещает рассказать на конференции DEF CON, которая состоится в августе.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Июня 2026 - 08:59

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации

Блокировка по фингерпринту: почему у россиян снова посыпались Xray, REALITY

В сообществе пользователей VPN вновь неспокойно. В начале июня многие россияне столкнулись с массовыми сбоями в работе популярных решений на базе Xray, VLESS и REALITY. Автор под ником hyperion_cs провёл на Хабре собственное исследование и заявил, что обнаружил новый алгоритм ограничений, который применяется как мобильными, так и домашними провайдерами.

По его версии, проблема связана не с блокировкой конкретных серверов или IP-адресов.

Гораздо интереснее другое: система анализирует параметры TLS-соединений, включая SNI, сетевую принадлежность сервера и так называемый фингерпринт клиента — набор признаков, по которым можно определить, под какой браузер маскируется соединение.

Как утверждает исследователь, под особое внимание попадают подключения к серверам в определённых подсетях и автономных системах. Причём речь идёт не только о зарубежных площадках, но и о крупных российских инфраструктурных провайдерах, включая Selectel, Яндекс Облако и Cloud.ru.

Согласно опубликованному анализу, если система фиксирует несколько параллельных TLS-подключений к одному ресурсу за короткий промежуток времени, соединения могут быть принудительно заморожены на две минуты. Если после этого клиент меняет свой сетевой отпечаток, срок ограничения якобы увеличивается уже до десяти минут.

Автор исследования отмечает, что такой подход напоминает известную среди специалистов сибирскую блокировку, но с более жёсткими параметрами и расширенным охватом.

Особое беспокойство вызывает то, что под ограничения потенциально могут попадать не только инструменты обхода блокировок, но и вполне легитимные веб-сайты, размещённые в российских дата-центрах. По мнению исследователя, это может негативно сказываться на доступности обычных интернет-ресурсов.

Для проверки своей гипотезы автор использовал инструмент dpi-ch из проекта dpi-checkers. По его словам, результаты тестирования показывают, что ограничения затрагивают часть популярных российских инфраструктурных площадок, а для зарубежных операторов по-прежнему применяются дополнительные механизмы фильтрации трафика.

Следует отметить, что опубликованное исследование представляет собой независимый технический анализ. Официальных комментариев со стороны операторов связи или регулирующих органов по поводу описанного механизма на момент публикации не поступало.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!