Новая дыра в macOS: libAppleArchive позволяет обойти Gatekeeper

Екатерина Быстрова 25 Апреля 2025 - 09:42

Домашние пользователи

...

Apple снова попала в новости из-за уязвимости — на этот раз в своей библиотеке libAppleArchive, которая используется для работы с архивами .aar. Исследователь Снулли Кеффабер нашёл критическую брешь (CVE-2024-27876, CVSS 8.1), позволяющую не только записывать файлы в произвольные места на диске, но и обходить защиту Gatekeeper.

Всё началось с того, что Кеффабер написал собственный парсер — libNeoAppleArchive — чтобы изучить поведение Apple Archive на Linux.

Работая с логикой обработки симлинков, он заметил странность: архив можно было распаковать так, что один из файлов на выходе оказывался… симлинком в любую другую директорию на системе.

Дальнейшие эксперименты показали, что во время распаковки возникает «состояние гонки» (race condition). Библиотека сначала проверяет, существует ли нужная папка, и только потом пытается её создать.

Если в этот момент подложить симлинк на другую директорию, libAppleArchive всё равно будет считать, что каталог создан, и продолжит писать туда файлы. В результате данные попадут по адресу, на который указывает симлинк — полностью под контролем атакующего.

Повторив структуру из симлинков и файлов в архиве несколько раз, Кеффаберу удалось сильно повысить процент успеха атаки.

На этом он не остановился: следующей целью стал обход Gatekeeper. Оказалось, что стандартная утилита Archive Utility сначала распаковывает файлы во временную директорию, а только потом вешает на них карантинные метки. Если с помощью уязвимости заставить libAppleArchive распаковать файл вне этой директории, он обойдёт карантин и сможет запускаться без предупреждений — что, конечно, опасно.

Уязвимость затрагивает не только macOS. libAppleArchive используется в WorkflowKit (Shortcuts), FlexMusicKit, ClipServices, а также в приложении «Файлы» на iOS, которое тоже умеет распаковывать .aar. Даже если включены проверки пути вроде pathIsValid(), гонка всё равно позволяет их обойти.

Кеффабер опубликовал PoC, продемонстрировав, что атака вполне реалистична, хотя и требует знания таких деталей, как переменная $TMPDIR.

Apple уже закрыла дыру в свежих апдейтах, так что срочно обновляйтесь — уязвимость серьёзная, а эксплойт уже в сети.

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Михаил Дудченко 11 Марта 2026 - 18:45

Малый и средний бизнес Корпорации Cистемы аудита и управления информационными активами (DCAP)Системы управления доступом (IdM/IAM) InfoWatch NGR Softlab ГК «Солар»

9% компаний разочаровались в датацентричном подходе к кибербезопасности

9% компаний по итогам 2025 года разочаровались в датацентричном подходе к кибербезопасности. Такие результаты показал опрос, проведённый среди зрителей и участников эфира AM Live «Новая архитектура защиты конфиденциальных данных: что делать в 2026 году».

В ходе дискуссии эксперты оценили, как за прошедший год изменились ответы на вопрос: «Используете ли вы датацентричный подход?». В целом число компаний, применяющих его, заметно выросло.

Если в прошлом году только 39% организаций уже активно использовали этот подход или находились на этапе внедрения, то сейчас таких стало 60%.

При этом значительно сократилось число тех, кто вообще не знал о существовании такой методики: их доля снизилась с 32% до 18%. Директор по инновациям и продуктовому развитию InfoWatch Андрей Арефьев так оценил эту динамику. По его мнению, многое упирается в восприятие самого подхода:

«Утечка происходит из-за действий человека, сами по себе данные не утекают».

Директор портфеля продуктов защиты данных в ГК «Солар» Мария Мозгалёва, в свою очередь, отметила, что многое зависит от масштаба компании:

«Крупный и верхний сегмент скорее активно используют этот подход или находятся в процессе внедрения. Они редко в нём разочаровываются. А вот B2B и B2B Middle — для них не так много инструментов, которые укладываются в их бюджет». Андрей Арефьев согласился с этим и в целом отметил, что сегодня информационная безопасность может обходиться слишком дорого для небольших компаний.

Директор по информационной безопасности WMX Лев Палей указал, что такая ситуация в целом естественна на ранних этапах, когда компании только начинают внедрять новые инструменты.

При этом среди всех методов защиты данных абсолютное большинство участников опроса назвали системы IDM (Identity Management, управление идентичностями) и IAM (Identity and Access Management, управление идентичностями и доступами) — 73%, а также DLP (Data Loss Prevention, предотвращение утечек данных), DCAP (Data-Centric Audit and Protection, датацентричный аудит и защита) и DAM (Database Access Management, управление доступом к базам данных) — по 69%.

Остальные методы отметило заметно меньшее число респондентов. Даже такой распространённый инструмент, как многофакторная аутентификация, важным назвали только 51% участников опроса.

Директор центра развития продуктов в NGR Softlab Алексей Дашков отметил, что здесь тоже многое зависит от размера компании:

«Аудит — это история про зрелую компанию, где нужно проверить, насколько всё соответствует регламентам, потому что бывает сложно определить, у кого реально есть доступ и кто какими методами пользуется».

Андрей Арефьев добавил, что любая информационная безопасность в принципе начинается с аудита. Мария Мозгалёва также подчеркнула, что данных становится всё больше, и без современных методов работать с ними уже невозможно.

При этом Алексей Дашков сформулировал ещё одну важную мысль:

«Хочется, чтобы информационная безопасность в компании в принципе начиналась с заинтересованности бизнеса в ней. Если она есть, компания получает значительный буст».

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!