Цепочка из трёх уязвимостей (критической, средней степени и низкой степени риска) в macOS позволяла обойти защитные слои операционной системы и получить доступ к пользовательским данным iCloud.
Проблема кроется в недостаточной обработке файлов, прикреплённых к событиям в календаре — «родном» приложении macOS.
Как выяснил исследователь в области кибербезопасности Микко Кенттяля, этот изъян позволяет выполнить произвольный код удалённо, а также получить доступ к конфиденциальным данным. В ходе тестов Кенттяля, например, добрался до целевых фотографий, сохранённых в iCloud.
Ни один из этапов этого вектора атаки не требует взаимодействия с пользователем, но что ещё важнее — его не могут остановить защитные системы Gatekeeper и TCC.
Наиболее опасная уязвимость из этой связки — CVE-2022-46723, ей присвоили 9,8 балла по шкале CVSS и, соответственно, статус критической. Самое плохое, что CVE-2022-46723 достаточно легко использовать в атаке.
Условный киберпреступник может отправить целевому пользователю приглашение в календарь, содержащее вредоносный файл. Поскольку macOS не проверяла имя файла, злоумышленник мог назвать его произвольным образом.
Более того, CVE-2022-46723 создавала также проблему обхода пути (path traversal), позволяя выбраться за пределы песочницы в приложении «Календарь».
В связке с CVE-2022-46723 отлично работала другая брешь — CVE-2023-40344, получившая 5,6 балла по CVSS (средняя степень риска). Именно она нивелировала защиту macOS Gatekeeper.
Третья уязвимость — CVE-2023-40434 (низкая степень риска, 3,3 балла по CVSS) — открывала возможность для кражи фотографий целевого пользователя.