Masz Inkscape na Macu? Aktualizuj natychmiast. Polscy badacze wykryli groźną lukę w uprawnieniach
To ostrzeżenie dla wszystkich, którzy szukają darmowej alternatywy dla Illustratora na Makach. Popularny edytor grafiki wektorowej Inkscape w wersji na macOS zawierał błąd, który pozwalał na obejście systemowych zabezpieczeń prywatności (TCC). Lukę wykryli i zgłosili polscy specjaliści.
Na czym polega problem?
W świecie macOS system TCC (Transparency, Consent, and Control) to ten „bramkarz”, który pyta Cię, czy aplikacja może mieć dostęp do folderu Dokumenty, Biurka czy Kamery. Raz przyznana zgoda powinna dotyczyć tylko tej jednej aplikacji.
Masz macOS Monterey? Google Chrome odetnie wsparcie w lipcu. Czas na aktualizację
Tymczasem Inkscape w wersjach starszych niż 1.4.3 ma wbudowany interpreter języka Python. Jak odkryli badacze Karol Mazurek i Hubert Decyusz z polskiego zespołu AFINE, ten wbudowany Python „dziedziczył” uprawnienia głównej aplikacji.
Co to oznacza w praktyce? Jeśli pozwoliłeś Inkscape’owi na dostęp do swoich dokumentów (co jest naturalne przy pracy z grafiką), złośliwy skrypt uruchomiony na Twoim komputerze mógłby wykorzystać Inkscape jako „tylne drzwi” do kradzieży tych plików – bez Twojej wiedzy i bez wywoływania jakichkolwiek alarmów systemowych.
Co musisz zrobić?
CERT Polska potwierdza: problem rozwiązuje aktualizacja do wersji 1.4.3. Twórcy programu załatali już dziurę. Jeśli masz Inkscape na dysku:
- Sprawdź wersję aplikacji.
- Jeśli jest starsza niż 1.4.3 – pobierz najnowszą instalkę bezpośrednio ze strony producenta.
Warto docenić pracę polskich badaczy i CERT Polska za szybką reakcję i koordynację naprawy błędu w tym popularnym projekcie open-source.
