Webtagr - Resumen de noticias de tecnología

Tags populares：

Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Vulnerabilidad de ventana emergente de permisos de macOS: TCC, ¿quién?

2025-05-12

Una vulnerabilidad de macOS parcheada recientemente, CVE-2025-31250, permitía a las aplicaciones falsificar ventanas emergentes de permisos del sistema, engañando a los usuarios para que otorgaran acceso no autorizado. Los atacantes explotaron un fallo en los eventos de Apple y en el sistema de Transparencia, Consentimiento y Control (TCC), separando la aplicación que se mostraba en la ventana emergente de la aplicación que realmente recibía los permisos. Esta vulnerabilidad aprovechaba un error lógico en el demonio TCC al manejar las solicitudes de permisos de eventos de Apple, evitando la necesidad de crear aplicaciones falsas o anular los accesos directos del Dock. La vulnerabilidad se ha parcheado, pero destaca la complejidad y los riesgos potenciales en la gestión de permisos del sistema.

Fallo crítico en macOS filtra contraseñas y datos de iCloud a través de NetAuthAgent

2025-03-20

Un artículo de investigación de seguridad revela una vulnerabilidad crítica en macOS (CVE-2024-54471) que permite a los atacantes robar credenciales de servidores de archivos e incluso información de la cuenta de iCloud y tokens de API a través de NetAuthAgent. La vulnerabilidad se debe a que el servidor MIG de NetAuthAgent no verifica los remitentes de los mensajes, lo que permite a los atacantes enviar mensajes maliciosos para recuperar credenciales del llavero, accediendo posteriormente a datos de iCloud, incluidos contactos, calendarios y ubicación. El artículo detalla el kernel Mach, el mecanismo MIG y el proceso de explotación, instando a los usuarios a actualizar macOS a la versión más reciente y habilitar la Protección de Datos Avanzada.