CVE-2024-7457

Nome do Software Vulnerável e Versões Afetadas ws.stash.app.mac.daemon.helper (versões afetadas não especificadas)

Descrição O problema é causado por um uso incorreto do modelo de autorização do macOS na ferramenta ws.stash.app.mac.daemon.helper. Em vez de validar a referência de autorização do cliente, o auxiliar invoca AuthorizationCopyRights() usando seu próprio contexto privilegiado, efetivamente autorizando a si mesmo em vez do cliente. Isso permite que clientes sem privilégios invoquem operações privilegiadas via XPC, incluindo alterações não autorizadas nas preferências de rede em todo o sistema, como configurações de proxy SOCKS, HTTP e HTTPS. A ausência de verificações adequadas de assinatura de código permite que processos arbitrários explorem essa falha, levando a ataques man-in-the-middle (MITM) através do redirecionamento de tráfego.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.