Уязвимость в macOS: Microsoft нашла способ обойти App Sandbox

Уязвимость в macOS: Microsoft нашла способ обойти App Sandbox

Уязвимость в macOS: Microsoft нашла способ обойти App Sandbox

Команда Microsoft Threat Intelligence рассказала об опасной уязвимости в macOS, позволяющей обходить App Sandbox — ключевую защиту операционной системы. Уязвимость получила идентификатор CVE-2025-31191 и представляет серьёзную угрозу.

С помощью бреши злоумышленник может выполнить произвольный код от имени приложения без ведома пользователя. То есть вообще без каких-либо действий с его стороны.

App Sandbox — это система ограничений в macOS, которая не даёт приложениям выходить за рамки своих полномочий. Это классическая песочница, в которой программа может «играть только со своими игрушками».

Microsoft копала глубоко: изучался API GrantAccessToMultipleFiles, с помощью которого приложение может запрашивать доступ сразу к нескольким файлам у пользователя. И оказалось, что выбор пользователя — дать или не дать доступ — сохраняется в системе. И злоумышленник может до этой конфигурации дотянуться.

Вот как выглядит цепочка атаки:

  • Удаляется старый «секрет» подписи (signing secret) из Keychain;
  • Вместо него вставляется известный ключ;
  • С его помощью создаются фальшивые записи в специальном файле PLIST, где хранятся так называемые security-scoped bookmarks — техника, с помощью которой macOS позволяет безопасно «выходить» из песочницы;
  • Эти записи отправляются системному агенту ScopedBookmarkAgent, который принимает их за настоящие и выдаёт приложению токены доступа;
  • Всё — песочницу обошли, у приложения появляется доступ к произвольным файлам за пределами его контейнера.

Насколько это серьёзно?

Очень. Этот эксплойт универсален и может применяться к любой песочнице в macOS, где используются security-scoped bookmarks. Особенно это опасно для таких популярных приложений, как, например, Microsoft Office, если в нём включены макросы.

Apple уже всё починила

Microsoft сообщила об уязвимости Apple по программе Coordinated Vulnerability Disclosure, и 31 марта 2025 года вышло обновление, которое закрывает дыру. Если вы ещё не обновились — самое время это сделать.

ГАИ проиграла суд против роботов-доставщиков

Московский городской суд отклонил жалобу ГАИ на решение суда первой инстанции, который не усмотрел в действиях роботов-доставщиков состава административного правонарушения, связанного с нарушением Правил дорожного движения. Ранее ГАИ обвинило дочернюю компанию Яндекса — «Рободоставку» — в нарушении ПДД.

Поводом для разбирательства стало происшествие 7 марта, когда инспектор ГАИ счёл, что робот-доставщик, передвигавшийся по тротуару, создаёт помехи пешеходам.

По мнению инспектора, это подпадало под статью 12.33 КоАП РФ. Компании «Рободоставка» в этом случае грозил штраф в размере 300 тыс. рублей.

Представители Яндекса с такой трактовкой не согласились, указав, что в действиях роботов-доставщиков отсутствует и не может присутствовать умысел. Дело было рассмотрено в Мещанском районном суде Москвы, который поддержал позицию компании.

«Роботы-доставщики не относятся к транспортным средствам, определённым нормами действующего законодательства. Как следует из видеозаписи, робот-доставщик передвигался по краю тротуара, не перекрывая пешеходную зону, автоматически останавливался при приближении людей. Пешеходы продолжали движение. Контакта, вынужденного сближения, опасных манёвров или остановок зафиксировано не было. Следовательно, объективных признаков угрозы безопасности дорожного движения не имелось», — такую выдержку из решения суда приводит Autonews.

ГАИ с таким решением не согласилась и подала жалобу в Московский городской суд. Однако Мосгорсуд оставил её без удовлетворения. Решение было принято ещё 5 февраля, но опубликовано только вечером 9 февраля.

«Мы работаем над тем, чтобы роботы-доставщики безопасно и корректно интегрировались в городскую среду и городскую инфраструктуру в рамках экспериментального правового режима, а также находимся в постоянном взаимодействии с профильными ведомствами. Подобные кейсы помогают формировать и развивать понятные правила использования автономных устройств в городе по мере накопления практического опыта», — прокомментировали судебное решение в Яндексе.

RSS: Новости на портале Anti-Malware.ru