Розробник повідомив про критичну вразливість macOS, яку в Apple ігнорували 10 місяців

Програмний інженер та розробник Джефф Джонсон розкрив вразливість нульового дня в системі управління програмами (App Management) macOS Ventura. За словами Джонсона, Apple не зробила жодних кроків для усунення проблеми протягом 10 місяців після початкового повідомлення розробника про вразливість.

У жовтні минулого року Джонсон виявив спосіб обходу функції керування програмами в macOS Ventura без необхідності отримання повного доступу до диска. Розробник надіслав інформацію до Apple Product Security — Apple підтвердила отримання звіту 21 жовтня, але не зробила жодних дій. Через 10 місяців, 19 серпня 2023 року, Джонсон вирішив оприлюднити інформацію про вразливість.

Стандартна практика передбачає, що розробники повідомляють виробника про знайдену вразливість і чекають 60−120 днів для розробки та випуску виправлення. Проте, Джонсон публічно поділився експлойтом, тому що «втратив будь-яку впевненість у тому, що Apple вирішить проблему».

Ще однією помітною особливістю є відсутність фінансової винагороди від Apple. Джонсон підкреслив, що, згідно з політикою компанії, винагороди виплачуються тільки після випуску виправлення, тому він «може чекати вічно, не отримавши нічого натомість».

Вразливість пов’язана з пісочницею програм: Джонсон випадково виявив, що ізольована програма в пісочниці може змінювати файли, які повинні були бути захищені системою керування програмами. Проблема поширюється навіть на файли, що зберігаються в пакетах підписаних програм, які мали бути захищені.

Розкриття недоліку ставить під питання ефективність механізмів безпеки від Apple і готовність компанії оперативно розв’язувати такі проблеми, наголосив розробник.