В macOS нашли критическую уязвимость в приложении Команды

Екатерина Быстрова 23 Июня 2025 - 10:40

Домашние пользователи

Корпорации

macOS

Apple

Positive Technologies

Уязвимости программ

Патчи

...

В macOS нашли критическую уязвимость в приложении Команды

В приложении Shortcuts («Команды»), которое предустановлено в macOS, нашли критически опасную уязвимость. С её помощью злоумышленник мог бы получить полный контроль над компьютером: читать, менять или удалять любые файлы.

Если заражённый ноутбук был подключён к корпоративной сети, это могло бы обернуться проникновением во внутреннюю инфраструктуру компании.

Уязвимость получила идентификатор BDU:2025-02497 и очень высокий балл по шкале опасности CVSS — 9,8 из 10. Проблему обнаружил Егор Филатов из Positive Technologies в версии Shortcuts 7.0 (2607.1.3).

Apple уже выпустила патч. Чтобы обезопасить себя, пользователям рекомендуют обновиться до macOS Sequoia 15.5 или новее. Тем, кто не может установить апдейт, стоит быть особенно осторожными: тщательно проверять загруженные команды или вообще отказаться от их использования.

Напомним, что «Команды» появились в macOS ещё в 2021 году. С помощью этого приложения можно автоматизировать действия — например, включать музыку, запускать таймер или превращать текст в аудио.

Кроме того, в нём есть библиотека готовых макросов, которые можно скачивать из интернета. И вот как раз через такие макросы атакующие и могли воспользоваться уязвимостью — жертве было бы достаточно запустить заражённый шаблон.

До того как проблему исправили, уязвимость позволяла обойти встроенные механизмы защиты macOS и выполнить произвольный код — то есть, по сути, полностью управлять системой.

Что могло случиться в случае атаки:

кража или удаление личных данных;
запуск вредоносных программ;
установка бэкдоров (чтобы сохранить доступ к системе даже после обновлений);
заражение шифровальщиком;
сбои в работе компании, если был скомпрометирован рабочий компьютер.

Эксперты также отмечают, что определять подобные уязвимости всё сложнее, особенно если речь идёт о приложениях с автоматизированными сценариями. Поэтому главное правило — осторожность при загрузке и запуске неизвестных файлов, даже если это просто «удобная команда для быстроты».

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 22 Октября 2025 - 20:28

Корпорации Государство Защита критически важных объектов Positive Technologies

Positive Technologies показала решение для защиты открытой АСУ ТП

Компания Positive Technologies представила кросс-платформенное решение по кибербезопасности для национальной открытой платформы промышленной автоматизации. Демонстрация прошла в Нижнем Новгороде на втором всероссийском форуме «Промышленная автоматизация: переход на открытую АСУ ТП».

Работа над проектом велась более трёх лет в рамках межотраслевой рабочей группы при Минпромторге России, в которую вошли представители энергетики, металлургии, нефтегаза, химической промышленности, поставщики оборудования и интеграторы.

Прототип открытой платформы АСУ ТП впервые показали на форуме ЦИПР летом 2025 года. Сейчас представлена её первая действующая версия, дополненная новыми программными и аппаратными компонентами российских разработчиков. Это позволило расширить число поддерживаемых технологических процессов и продемонстрировать возможности применения открытых стандартов в разных отраслях.

Заместитель министра промышленности и торговли РФ Василий Шпак отметил, что рынок систем промышленной автоматизации в России активно развивается, а сотрудничество компаний помогает вырабатывать единые подходы и стандарты. По его словам, отечественные технологии уже позволяют создавать конкурентоспособные решения, обеспечивающие независимость и безопасность предприятий.

На совместном стенде форума участники показали, как современные технологии позволяют строить гибкие и защищённые системы управления, сочетающие новые и уже существующие решения. В состав платформы входят программные контроллеры, SCADA-системы, шлюзы-конвертеры и встроенные средства кибербезопасности. Все элементы соответствуют принципам открытых АСУ ТП — совместимости, взаимозаменяемости и защищённости данных.

Руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский отметил, что представленная версия платформы уже готова к внедрению и включает поддержку цифровых двойников и имитационных моделей. Разработанное решение по кибербезопасности можно применять в кросс-платформенных системах автоматизации, использующих открытые протоколы и компоненты разных производителей.

В macOS нашли критическую уязвимость в приложении Команды

Читайте также