Специалист Positive Technologies Егор Филатов нашел критически опасную уязвимость в приложении Shortcuts («Быстрые команды»), предустановленной программе в операционной системе macOS. Эта уязвимость может позволить киберпреступнику получить полный контроль над компьютером, включая возможность читать, редактировать и удалять любую информацию. Если зараженный ноутбук подключен к корпоративной сети, злоумышленник может проникнуть в инфраструктуру компании.
Уязвимость, обозначенная как BDU:2025-02497, получила 9,8 баллов из 10 по шкале CVSS 3.0 и обнаружена в версии Shortcuts 7.0 (2607.1.3). Компания-разработчик была уведомлена об угрозе в рамках ответственного разглашения и выпустила обновление программного обеспечения. Пользователям рекомендуется установить macOS Sequoia 15.5 и выше для устранения риска.
Ранее эксперты из компании Cybernews сообщили о масштабной утечке данных, в результате которой стали доступны около 16 миллиардов личных данных, включая пароли и логины. Такой объем утечки вызвал серьезные беспокойства в сфере кибербезопасности, и с учетом новых уязвимостей в ПО Apple, необходимость защиты личных данных становится более актуальной.
Shortcuts впервые стали доступны в программном обеспечении macOS Monterey в 2021 году и сохранились в последующих версиях Ventura, Sonoma и Sequoia. Приложение позволяет пользователям создавать команды для автоматизации различных функций, что могло бы быть использовано злоумышленниками через зараженные шаблоны. Для успешной реализации атаки жертве достаточно запустить на своем устройстве вредоносный макрос.
«При успешной эксплуатации уязвимости в приложении Shortcuts злоумышленник мог бы атаковать любого невнимательного пользователя, — отметил Егор Филатов. — Эта ошибка позволяла обходить механизмы безопасности macOS и выполнять произвольный код в системе». По мнению эксперта, последствия таких атак могут включать кражу конфиденциальных данных, запуск вредоносного ПО и создание бэкдоров, что может серьезно повлиять на работу организаций.
Positive Technologies уже более десяти лет исследует продукцию Apple. В прошлом исследователи компании находили уязвимости в Intel Management Engine и платежной системе Apple Pay, что подчеркивает важность активной работы в сфере кибербезопасности. Кроме того, для защиты мобильных приложений от реверс-инжиниринга, Positive Technologies предлагает сервис PT MAZE, который повышает защиту приложений на мобильных устройствах.