CVE-2024-45599

Nome do software vulnerável e versões afetadas:

Versões do Cursor anteriores à 0.41.0

Descrição:

O problema afeta o Cursor, um editor de código com inteligência artificial, no macOS. Se um usuário tiver concedido ao Cursor acesso à câmera ou ao microfone, qualquer programa executado no computador poderá acessar esses dispositivos sem permissão explícita. Isso é possível por meio de uma injeção DyLib usando a variável de ambiente DYLD INSERT LIBRARIES, combinada com permissões específicas, como com.apple.security.cs.allow-dyld-environment-variables e com.apple.security.cs.disable-library-validation. Os direitos com.apple.security.device.camera e com.apple.security.device.audio-input permitem que o aplicativo use a câmera e o microfone do host, respectivamente. Como resultado, código não confiável executado na máquina do usuário pode acessar a câmera ou o microfone se o usuário já tiver concedido permissão para que o Cursor faça isso.

Recomendações:

Para versões anteriores à 0.41.0, como solução temporária, considere não conceder explicitamente permissão ao Cursor para acessar a câmera ou o microfone se usuários não confiáveis puderem executar comandos arbitrários na máquina afetada.

Atualize para a versão 0.41.0 ou posterior, na qual as autorizações foram divididas por processo para evitar esse problema.