Masz Inkscape na Macu? Aktualizuj natychmiast. Polscy badacze wykryli groźną lukę w uprawnieniach

To ostrzeżenie dla wszystkich, którzy szukają darmowej alternatywy dla Illustratora na Makach. Popularny edytor grafiki wektorowej Inkscape w wersji na macOS zawierał błąd, który pozwalał na obejście systemowych zabezpieczeń prywatności (TCC). Lukę wykryli i zgłosili polscy specjaliści.

Na czym polega problem?

W świecie macOS system TCC (Transparency, Consent, and Control) to ten „bramkarz”, który pyta Cię, czy aplikacja może mieć dostęp do folderu Dokumenty, Biurka czy Kamery. Raz przyznana zgoda powinna dotyczyć tylko tej jednej aplikacji.

Masz macOS Monterey? Google Chrome odetnie wsparcie w lipcu. Czas na aktualizację

Tymczasem Inkscape w wersjach starszych niż 1.4.3 ma wbudowany interpreter języka Python. Jak odkryli badacze Karol Mazurek i Hubert Decyusz z polskiego zespołu AFINE, ten wbudowany Python „dziedziczył” uprawnienia głównej aplikacji.

Co to oznacza w praktyce? Jeśli pozwoliłeś Inkscape’owi na dostęp do swoich dokumentów (co jest naturalne przy pracy z grafiką), złośliwy skrypt uruchomiony na Twoim komputerze mógłby wykorzystać Inkscape jako „tylne drzwi” do kradzieży tych plików – bez Twojej wiedzy i bez wywoływania jakichkolwiek alarmów systemowych.

Co musisz zrobić?

CERT Polska potwierdza: problem rozwiązuje aktualizacja do wersji 1.4.3. Twórcy programu załatali już dziurę. Jeśli masz Inkscape na dysku:

• Sprawdź wersję aplikacji.
• Jeśli jest starsza niż 1.4.3 – pobierz najnowszą instalkę bezpośrednio ze strony producenta.

Warto docenić pracę polskich badaczy i CERT Polska za szybką reakcję i koordynację naprawy błędu w tym popularnym projekcie open-source.

Clawdbot – AI, które naprawdę „robi rzeczy”. Viticci zachwycony, my ostrzegamy: to zabawa z odbezpieczonym granatem

macOS Flaw Allows TCC Bypass, Exposing Sensitive User Information
https://gbhackers.com/macos-flaw-allows-tcc-bypass-exposing-sensitive-user-information/

#Infosec #Security #Cybersecurity #CeptBiro #macOSFlaw #TCCBypass #SensitiveUserInformation

Microsoft odkrył poważną lukę w macOS Spotlight — nazwano ją „Sploitlight”

Zespół Microsoft Threat Intelligence ujawnił lukę w zabezpieczeniach Spotlight w macOS, która mogła umożliwić kradzież prywatnych danych użytkowników.

Exploit nazwano „Sploitlight” – wykorzystywał on wtyczki Spotlight do obejścia systemu TCC (Transparency, Consent and Control).

Jakie dane były zagrożone? Luka mogła ujawnić takie informacje jak:

• dane lokalizacji,
• metadane zdjęć i wideo,
• dane rozpoznawania twarzy z aplikacji Zdjęcia,
• historia wyszukiwań,
• podsumowania e-maili AI,
• preferencje użytkownika.

TCC ma chronić prywatność użytkownika, ale Microsoft wykrył sposób na obejście zabezpieczeń poprzez zmodyfikowane pakiety aplikacji używane przez Spotlight.

Apple naprawiło błąd w aktualizacji macOS 15.4 i iOS 15.4 z 31 marca 2025 r., zanim luka została ujawniona publicznie. Dodatkowo Apple poprawiło zabezpieczenia powiązane z symlinkami i zarządzaniem stanem systemu.

Szczegółowy opis techniczny exploita można znaleźć na stronie Microsoftu.

#aktualizacjaApple #AppleIntelligence #bezpieczeństwoApple #lukaWSystemieApple #macOS154 #macOSLuka #MicrosoftOdkrycie #prywatnośćMacOS #Sploitlight #SpotlightExploit #TCCBypass