Post #262

DirtyNIB — Apple не исправили 0-day за 2 года. Тут один исследователь рассказал офигенную историю. Если коротко: он обнаружил, что в пакетах приложений в macOS можно подменить NIB-файлы, и они выполнятся в обход существующих методов защиты! Впервые он сообщил об этой проблеме в Apple еще в ноябре 2021 года. После обмена МНОГИМИ электронными письмами он получил несколько подтверждений того, что проблема будет исправлена. Но за два года все попытки как-то исправить уязвимость были лишь косметическими, она до сих пор работает с минимальным изменением способа эксплуатации и пережила выход аж двух новых версий MacOS (Ventura, Sonoma)! В итоге исследователь решил, что выполнил все правила ответственного раскрытия и опубликовал новость в своем блоге. Таким образом он надеется повлиять на Apple и поспособствовать скорейшему закрытию уязвимости. Крайне осуждаем Apple за это!