Буквально вчера сообщали о выпуске обновлений для линейки решений Apple и, казалось бы, достаточно приличное число проблем безопасности было исправлено, но, к сожалению, призрак микромягких настигает и разработчиков из Купертино.

По данным эксперта по безопасности macOS Патрика Уордла, в обновленной macOS Tahoe, выпущенной на этой неделе, вернулся старый эксплойт, который задействует систему поиска Spotlight для обхода системы безопасности TCC.

Дело в том, что в macOS 26 (Tahoe) плагины Spotlight по-прежнему могут устанавливаться локально непривилегированными злоумышленниками или вредоносными программами без необходимости нотариального подтверждения.

Более того, поскольку они вызываются для индексации конфиденциальных пользовательских файлов, обычно защищённых TCC, любой механизм, способный преодолеть границы их ограничительной «песочницы», фактически обеспечит обход TCC.

С одной стороны, плагинам Spotlight нужен доступ к файлам, защищённым TCC, для их индексации, чтобы при поиске через интерфейс Spotlight система могла возвращать результаты.

С другой стороны, полностью ограничить изолированную среду плагинов очень сложно (что наглядно демонстрируют CVE-2024-54533, CVE-2025-31199 и новая 0-day).

В общем, хотя основная ошибка (злоупотребление уведомлениями) была публично раскрыта почти десять лет назад, она всё ещё присутствует в macOS 26.

Технические подробности новой (фактически старой) проблемы - в отчете.