У вас Mac и „Яндекс Диск“? У нас плохие новости (если вы не обновитесь)
NewsMakerЭксперты нашли способ захватить аккаунт в „Яндекс Диске“.
Эксперт PT SWARM Егор Филатов помог устранить уязвимость в клиенте облачного сервиса «Яндекс Диск» для устройств под управлением macOS. В Positive Technologies отмечают, что при определенных условиях ошибка могла позволить злоумышленнику захватить корпоративный аккаунт и получить доступ к данным, хранящимся в облаке. О проблеме сообщили вендору в рамках политики ответственного разглашения, после чего «Яндекс» выпустил обновление .
Речь идет об уязвимости PT-2025-44737 , которой присвоены идентификаторы CVE-2025-5470 и BDU:2025-08831. По оценке CVSS 4.0 она получила 7,3 балла из 10, что соответствует высокому уровню угрозы. Ошибка содержалась в «Яндекс Диске» версии 3.2.44 для компьютеров и ноутбуков Apple.
Как поясняют в Positive Technologies, необходимым условием эксплуатации являлся прямой доступ к операционной системе жертвы, то есть возможность выполнять команды от имени конкретного пользователя. При таком сценарии злоумышленник мог использовать вредоносную библиотеку и добиться выполнения кода в контексте приложения. В результате у атакующего потенциально появлялась возможность закрепиться в системе, а также получить доступ к локальным файлам, связанным с «Диском».
В компании указывают, что при успешной эксплуатации уязвимости атакующий смог бы читать, скачивать и удалять файлы из облачного хранилища пользователей. Полученную информацию, по оценке экспертов, можно было бы использовать, в частности, для подготовки фишинговых атак.
По данным threat intelligence-мониторинга Positive Technologies, потенциально уязвимыми по всему миру могли быть более 50 тыс. устройств. Наибольшая доля, как утверждается, приходилась на Россию (91%). Далее следуют Германия (3%), Белоруссия и Казахстан (по 2%).
Пользователям macOS рекомендовано обновить «Яндекс Диск» до версии 3.2.45.3275 . В качестве общей меры защиты от атак с использованием подобных ошибок также рекомендуется устанавливать приложения только из официальных источников.
Эксперт PT SWARM Егор Филатов помог устранить уязвимость в клиенте облачного сервиса «Яндекс Диск» для устройств под управлением macOS. В Positive Technologies отмечают, что при определенных условиях ошибка могла позволить злоумышленнику захватить корпоративный аккаунт и получить доступ к данным, хранящимся в облаке. О проблеме сообщили вендору в рамках политики ответственного разглашения, после чего «Яндекс» выпустил обновление .
Речь идет об уязвимости PT-2025-44737 , которой присвоены идентификаторы CVE-2025-5470 и BDU:2025-08831. По оценке CVSS 4.0 она получила 7,3 балла из 10, что соответствует высокому уровню угрозы. Ошибка содержалась в «Яндекс Диске» версии 3.2.44 для компьютеров и ноутбуков Apple.
Как поясняют в Positive Technologies, необходимым условием эксплуатации являлся прямой доступ к операционной системе жертвы, то есть возможность выполнять команды от имени конкретного пользователя. При таком сценарии злоумышленник мог использовать вредоносную библиотеку и добиться выполнения кода в контексте приложения. В результате у атакующего потенциально появлялась возможность закрепиться в системе, а также получить доступ к локальным файлам, связанным с «Диском».
В компании указывают, что при успешной эксплуатации уязвимости атакующий смог бы читать, скачивать и удалять файлы из облачного хранилища пользователей. Полученную информацию, по оценке экспертов, можно было бы использовать, в частности, для подготовки фишинговых атак.
По данным threat intelligence-мониторинга Positive Technologies, потенциально уязвимыми по всему миру могли быть более 50 тыс. устройств. Наибольшая доля, как утверждается, приходилась на Россию (91%). Далее следуют Германия (3%), Белоруссия и Казахстан (по 2%).
Пользователям macOS рекомендовано обновить «Яндекс Диск» до версии 3.2.45.3275 . В качестве общей меры защиты от атак с использованием подобных ошибок также рекомендуется устанавливать приложения только из официальных источников.