TCC Bypass Vulnerabilidades en dos aplicaciones MacOS

Summary of CVE Vulnerabilities Report on Poedit and Viscosity

In May 2025, CERT Polska reported two distinct vulnerabilities affecting MacOS applications, specifically Poedit and Viscosity. Both vulnerabilities are classified as having incorrect default permissions (CWE-276) and represent significant security issues that could allow unauthorized access to user files.

CVE-2025-4280: Vulnerability in Poedit

  • ID: CVE-2025-4280
  • Publication Date: May 22, 2025
  • Vendor: Poetit
  • Affected Versions: From 2.0 to 3.6.3

The vulnerability in Poedit involves an interpreter for Python that inherits transparency, consent, and control (TCC) permissions granted by the user to the main application. An attacker with local access can exploit this interpreter using arbitrary commands or scripts. This allows unauthorized access to protected files without triggering user consent prompts, potentially disguising malicious intent. A key issue is that any further resource access beyond what is allowed by the TCC permissions would require the user to approve, which may lead to unintentional approval due to the Poedit application identity.

This critical vulnerability was addressed in version 3.6.3 of Poedit, which has since been released to rectify the security flaws.

CVE-2025-4412: Vulnerability in Viscosity

  • ID: CVE-2025-4412
  • Publication Date: May 26, 2025
  • Vendor: Plantillas
  • Affected Versions: Throughout version 1.11.4

For Viscosity, the flaw arises during the usage of a launch agent that loads the Viscosity_openvpn process from the application bundle. This configuration allows dynamic libraries to be loaded using the TCC identity of Viscosity. While resource access is generally limited, like to the camera or microphone, it primarily relies on user-granted permissions for file resources only. Any attempt to access additional resources necessitates user interaction through system permission prompts, which are designed to enhance security.

This vulnerability was rectified in version 1.11.5 of Viscosity, ensuring that the potential risks associated with unauthorized access are mitigated.

Acknowledgments

CERT Polska has acknowledged the critical role played by Karol Mazurek from the Afine team for responsibly reporting these vulnerabilities. The efforts contribute significantly to the overall safety of software applications used by MacOS users worldwide.

Conclusion

Both reported vulnerabilities expose key risks in user permissions management, highlighting the necessity for ongoing security scrutiny in software development. Users of Poedit and Viscosity are strongly encouraged to update their applications to the latest versions (3.6.3 and 1.11.5, respectively) to protect against these vulnerabilities. For further information about the process of coordinated vulnerability disclosure, individuals can visit the CERT Polska website at cert.pl/en/cvd/.

Overall, these findings serve as a reminder of the importance of vigilance and responsiveness in addressing software vulnerabilities, particularly in applications handling sensitive user data.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Las víctimas de ransomware australianas ahora deben decirle al gobierno si pagan

Australia ha marcado un hito al convertirse en el primer país del mundo en legislar que las víctimas de ataques de ransomware deben informar al

...
Más detalle de la noticia

Seguridad: divulgación de información local en Apport y Systemd -Coredump

Summary of Qualys Security Advisory on Local Information Disclosure Vulnerabilities Overview Qualys has identified two vulnerabilities in core-dump handlers used in Linux distributions, specifically apport

...
Más detalle de la noticia

Militar del Reino Unido para establecer un nuevo mando cibernético y electromagnético

El Reino Unido ha anunciado la creación de un nuevo comando militar dedicado a la guerra digital y electrónica, en respuesta a la rigurosa revisión

...
Más detalle de la noticia

HPE Security Advisory (AV25-303) – Centro canadiense de seguridad cibernética

Resumen del Aviso de Seguridad de HPE – 30 de mayo de 2025 El 30 de mayo de 2025, HPE emitió un aviso de seguridad

...
Más detalle de la noticia

Vulnerabilidades en aplicaciones precargadas en Ulefone y Krüger & Matz Smartphones

Vulnerabilities in Ulefone and Krüger & Matz Smartphones On May 30, 2025, CERT Polska disclosed vulnerabilities found in pre-installed applications on smartphones manufactured by Ulefone

...
Más detalle de la noticia

Vulnerabilidades múltiples en el núcleo de Linux de Debian LTS

Se han identificado varias vulnerabilidades en el núcleo de Linux de Debian LTS que pueden tener graves implicaciones para la seguridad del sistema. Estas vulnerabilidades

...
Más detalle de la noticia

Carta semanal de CERT-SE V.22-CERT-SE

Resumen de la Carta Semanal (30 de mayo de 2025) La semana ha estado marcada por importantes desarrollos en la ciberseguridad, así como el lanzamiento

...
Más detalle de la noticia

Alerta de seguridad (A25-05-20): vulnerabilidad en Apache Tomcat

Resumen de Actualización de Seguridad de Apache Tomcat La Apache Software Foundation ha lanzado actualizaciones de seguridad para resolver una vulnerabilidad crítica en Apache Tomcat,

...
Más detalle de la noticia

Revisión semanal del Centro Nacional de Seguridad Cibernética Finlandia (NCSC -FI) – 21/2025

El 18 de junio de 2025, el Centro Nacional de Coordinación de Finlandia (NCSC-Fi) llevará a cabo un seminario web público centrado en las oportunidades

...
Más detalle de la noticia

NVD-CVE-2025-3913

CVE-2025-3913 Detalle Recepción Este registro CVE ha sido recientemente publicado y forma parte del conjunto de datos NVD (National Vulnerability Database). Descripción Se ha identificado

...
Más detalle de la noticia

Lumma Infenteser – ¿Abajo pero no fuera?

Resumen de los Hallazgos Clave sobre la Operación contra Lumma El 21 de mayo de 2025, una operación coordinada por Europol, el FBI y Microsoft,

...
Más detalle de la noticia

Vulnerabilidades múltiples de Microsoft Edge

Se han identificado varias vulnerabilidades en Microsoft Edge, el navegador web de Microsoft. Estas vulnerabilidades, si son aprovechadas por un atacante remoto, pueden tener graves

...
Más detalle de la noticia

Panel de incendio CS5000 de seguridad consilium CS5000

Resumen Ejecutivo La vulnerabilidad del Panel de fuego CS5000 de Consilium Safety ha sido clasificada con una puntuación CVSS V4 de 9.3, indicando un riesgo

...
Más detalle de la noticia

Seguridad-Re: ISC ha revelado tres vulnerabilidades en KEA (CVE-2025-32801, CVE-2025-32802, CVE-2025-32803)

Summary of Security Vulnerabilities in Kea DHCP Server Suite On May 28, 2025, Matthias Gerstner reported significant vulnerabilities in the Kea DHCP server suite, primarily

...
Más detalle de la noticia

Novedosos dispositivos de vigilancia de IoT para botnet

Resumen de la Botnet Pumabot Enfocada en Dispositivos IoT Introducción DarkTrace ha identificado una botnet llamada "Pumabot", diseñada con el lenguaje Go y enfocada en

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita