Alcuni ricercatori Microsoft, impegnati nel contesto della sicurezza informatica, hanno individuato una pericolosa vulnerabilità sul sistema operativo macOS. Secondo quanto affermato dagli esperti, il bug in questione potrebbe consentire il potenziale accesso di dati personali presenti sui Mac.
La scoperta è stata descritta in modo accurato su un post del blog ufficiale di Microsoft, dove è stato spiegato come si tratti di un difetto del software che permette di aggirare la tecnologia Transparency, Consent, and Control (TCC). La vulnerabilità, soprannominata HM Surf e catalogata con il codice CVE-2024-44133, viene considerata come di gravità media (con un punteggio di 5.5 su una scala da 10).
In ogni caso, per gli utenti macOS non vi sono particolari preoccupazioni: nonostante la notizia sia stata diffusa in queste ore, il bug è stato risolto dagli sviluppatori Apple a metà dello scorso mese di settembre.
Vulnerabilità su macOS: non solo il browser Safari a rischio
Secondo il post di Microsoft, l’exploit individuato agiva rimuovendo la protezione TCC nel contesto del browser Safari. Ciò permette, potenzialmente, a un cybercriminale di ottenere accesso a diversi dati dell’utente, come cronologia e posizione GPS, oltre alla possibilità di interagire con periferiche come fotocamera e microfono. Il tutto senza alcun tipo di permesso concesso da parte dell’utente.
Nonostante la correzione, con l’adozione di nuove protezioni TCC, la situazione può presentare ancora aspetti preoccupanti. Casi simili potrebbero verificarsi anche con altri browser, come Firefox e Chrome. In ogni caso, il colosso di Redmond ha voluto puntualizzare come sta collaborando con i nomi più importanti del settore per rafforzare le difese anche dei concorrenti di Edge.
Nel caso specifico di Safari, il consiglio agli utenti macOS è sempre quello di mantenere aggiornato il sistema operativo e il software presente sul Mac. Microsoft ha infatti individuato tracce di possibili violazioni relative a HM Surf, dunque la vulnerabilità sembra essere stata utilizzata in passato da alcuni cybercriminali.