கொழுப்பு இருமங்கள் புதிய மேகோஸ் பாதிப்புக்கு விசையை வைத்திருக்க முடியும்

ஆப்பிள், இன்க்., சி-நெட்

பாதுகாப்பான யுனிக்ஸ் சூழலாக செயல்படுவதில் மாகோஸுக்கு நற்பெயர் இருந்தாலும், இயக்க முறைமையின் பாதுகாப்பு சேவைகளை ஏமாற்ற மூன்றாம் தரப்பு டெவலப்பர்கள் கோட்பாட்டளவில் ஆப்பிளின் குறியீடு கையொப்பமிடும் API ஐப் பயன்படுத்தலாம் என்று தெரிகிறது. இந்த கருவிகள் உட்பொதிக்கப்பட்ட தீங்கிழைக்கும் குறியீட்டை ஆப்பிள் கையொப்பமிட்டது என்று தவறாக நம்பக்கூடும், எனவே அது என்ன செய்தாலும் அதை இயக்க பாதுகாப்பானது.

குறியீட்டு கையொப்பம் என்பது நம்பத்தகாத குறியீட்டை களைய ஒரு சிறந்த வழியாகும், இதனால் ஒரு கணினியில் இயங்கும் ஒரே செயல்முறைகள் செயல்படுத்த பாதுகாப்பானவை. மேக்-ஓ பைனரிகளையும் பயன்பாட்டு மூட்டைகளையும் சான்றளிக்க மேகோஸ் மற்றும் ஐஓஎஸ் இரண்டும் கையொப்பங்களைப் பயன்படுத்துகின்றன, ஆனால் வாரத்தின் முந்தைய வல்லுநர்கள் இந்த அமைப்பைக் குறைமதிப்பிற்கு உட்படுத்த ஒரு வழியைக் கண்டுபிடித்ததாகத் தெரிகிறது.

இன்ஃபோசெக் ஆராய்ச்சியாளர்களின் கூற்றுப்படி, பெரும்பான்மையான பாதுகாப்பு தயாரிப்புகள் கிரிப்டோகிராஃபிக் கையொப்பங்களை சரிபார்க்க ஒரு தவறான முறையைப் பயன்படுத்துகின்றன, இது ஆப்பிள் கையொப்பமிட்டபடி கையொப்பமிடப்படாத குறியீட்டைக் காண வைக்கிறது.

இருப்பினும், ஆப்பிளின் சொந்த கருவிகள் API களை முறையாக செயல்படுத்தியுள்ளன. எனவே பாதிப்பைப் பயன்படுத்துவதற்கான முறை சற்று வித்தியாசமானது மற்றும் கொழுப்பு இருமங்கள் எவ்வாறு செயல்படுகின்றன என்பதைப் பொறுத்தது.

உதாரணமாக, ஒரு பாதுகாப்பு ஆராய்ச்சியாளர் ஆப்பிள் கையொப்பமிட்ட ஒரு முறையான திட்டத்தை ஒன்றிணைத்து, அதை பைனரியுடன் கலக்கினார், அது i386 தொகுக்கப்பட்டது, ஆனால் x86_64 தொடர் மேகிண்டோஷ் கணினிகளுக்கு.

எனவே தாக்குபவர் ஒரு சுத்தமான மேகோஸ் நிறுவலில் இருந்து முறையான பைனரியை எடுத்து அதில் ஏதாவது சேர்க்க வேண்டும். புதிய பைனரியில் உள்ள CPU வகை வரி பின்னர் விசித்திரமான மற்றும் செல்லுபடியாகாத ஒன்றை அமைக்க வேண்டும், இது ஹோஸ்ட் சிப்செட்டுக்கு சொந்தமானது அல்ல என்று தோன்றுகிறது, ஏனெனில் இது கர்னலை முறையான குறியீட்டைத் தவிர்த்து, தன்னிச்சையாக செயல்படுத்தத் தொடங்கும். பின்னர் வரியில் சேர்க்கப்படும் செயல்முறைகள்.

இருப்பினும், ஆப்பிளின் சொந்த பொறியியலாளர்கள், இந்த எழுத்தின் நேரத்தின் பாதிப்புக்குள்ளான பாதிப்பைப் பார்க்க வேண்டாம். பயனர்கள் ஒரு சுரண்டலை நிறுவ அனுமதிக்க ஒரு சமூக பொறியியல் அல்லது ஃபிஷிங் தாக்குதல் தேவைப்படும். ஆயினும்கூட, பல மூன்றாம் தரப்பு டெவலப்பர்கள் இணைப்புகளை வெளியிட்டுள்ளனர் அல்லது அவற்றை வழங்க திட்டமிட்டுள்ளனர்.

எந்தவொரு பாதிக்கப்பட்ட பாதுகாப்பு கருவிகளையும் பயன்படுத்தும் பயனர்கள் எதிர்கால சிக்கல்களைத் தடுப்பதற்காக திட்டுகள் கிடைத்தவுடன் புதுப்பிக்குமாறு கேட்டுக்கொள்ளப்படுகிறார்கள், இருப்பினும் இந்த சுரண்டலின் எந்தவொரு பயன்பாடும் இதுவரை எழவில்லை.