Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach występujących w dwóch aplikacjach na systemy macOS i koordynował proces ujawniania informacji.
Poedit
Podatność CVE-2025-4280: Wersja Poedit na urządzenia z systemem macOS posiada interpreter Python, który dziedziczy uprawnienia nadane głównej aplikacji w systemie Transparency, Consent, and Control (TCC). Atakujący z lokalnym dostępem może uruchomić ten interpreter, dzięki poleceń bądź skryptów, i wykorzystać uprawnienia głównej aplikacji do uzyskiwania dostępu do plików użytkownika w chronionych folderach, bez wywoływania monitów z prośbą o przyznanie dostępu. Dostęp do pozostałych zasobów, do których uprawnienia nie zostały przyznane, wywoła monit z prośbą o akceptację w imieniu aplikacji Poedit, potencjalnie maskując złośliwe zamiary atakującego.
Ta podatność została usunięta w wersji Poedit 3.6.3.
Viscosity
Podatność CVE-2025-4412: W systemie operacyjnym macOS, wykorzystując agenta uruchamiania (Launch Agent) i ładując proces viscosity_openvpn, możliwe jest załadowanie dynamicznej biblioteki z uprawnieniami Transparency, Consent, and Control (TCC) aplikacji Viscosity. Uzyskany dostęp do zasobów jest ograniczony i nie obejmuje uprawnień takich jak dostęp do kamery czy mikrofonu. Dynamiczna biblioteka uzyskuje jedynie uprawnienia do zasobów plikowych przyznanych wcześniej przez użytkownika (domyślnie aplikacja nie ma przyznanych żadnych uprawnień, w tym również do plików). Dostęp do pozostałych zasobów poza nadanymi uprawnieniami wymaga interakcji użytkownika z systemowym monitem z prośbą o nadanie dostępu.
Ta podatność została usunięta w wersji 1.11.5 aplikacji Viscosity.
Podziękowania
Za zgłoszenia podatności dziękujemy Karolowi Mazurkowi z Afine.
