Nếu bạn chưa cập nhật máy Mac của mình lên phiên bản mới nhất của Ventura, Monterey hoặc Big Sur, bạn nên nhanh chóng làm điều đó. Một lỗi mới khó chịu đã được vá trong các bản cập nhật tuần trước có thể bị kẻ tấn công sử dụng để vượt qua các biện pháp bảo vệ an ninh nghiêm ngặt của Apple và cài đặt phần mềm độc hại trên máy Mac của bạn.
Được phát hiện bởi Microsoft, công ty đã đăng trên blog Bảo mật của mình về lỗ hổng có tên Achilles. Về cơ bản, Achilles sử dụng một định dạng tệp trong macOS có tên AppleDouble bao gồm Danh sách kiểm soát truy cập với các quyền hạn chế để đánh lừa Gatekeeper, một tính năng macOS ngăn cài đặt phần mềm độc hại. Khi Gatekeeper bị bỏ qua, quá trình cài đặt phần mềm có thể tiến hành mà người dùng không được cảnh báo hoặc bất kỳ phần nào của hệ thống ngăn cản, ngay cả khi ở chế độ Khóa.
Achilles được nộp cho Cơ sở dữ liệu dễ bị tổn thương quốc gia với tên CVE-2022-42821 và được Microsoft phát hiện vào tháng 7. Theo thông lệ, những người phát hiện ra các lỗ hổng sẽ đăng về những phát hiện của họ sau khi các bản vá được phát hành. Microsoft đã đăng một video bằng chứng về khái niệm cho Achilles, có thể xem tại đây. Microsoft lưu ý rằng vì chế độ Khóa mới của Apple “nhằm mục đích ngăn chặn các hoạt động khai thác thực thi mã từ xa không cần nhấp chuột”, nên nó không thể chống lại Achilles.
Theo ghi chú bảo mật của Apple khi macOS Ventura được phát hành vào tháng 10, Achilles đã được sửa, tuy nhiên, ghi chú về bản sửa lỗi không có trong phiên bản gốc của ghi chú và chỉ được thêm vào ngày 13 tháng 12. Apple cũng đã vá lỗi Achilles trong macOS Monterey và Big Sur trong các bản cập nhật được phát hành vào tuần trước.
Gatekeeper được giới thiệu trong Mac OS X Mountain Lion vào năm 2012 và đã có một số lỗ hổng bảo mật được vá trong nhiều năm–blog của Microsoft liệt kê sáu lỗ hổng gần đây ngoài Achilles. Mặc dù Gatekeeper là một tính năng quan trọng để bảo vệ máy Mac, nhưng nó không hoàn hảo, vì vậy, đó chỉ là một lý do khác khiến bạn nên cài đặt các bản cập nhật hệ điều hành càng sớm càng tốt.