Hack Alerta

CVE‑2025‑43530: bypass do TCC em macOS via VoiceOver tem PoC público, atualize para 26.2

Por Redação Hack Alerta Publicado em 06/01/2026 10:03 Riscos e Ameaças Tempo de leitura: 2 min

CVE‑2025‑43530 permite contornar proteções TCC no macOS via VoiceOver (com.apple.scrod). Apple corrigiu o problema em macOS 26.2; um PoC público foi publicado, aumentando risco de exploração ativa. Administradores devem atualizar frotas imediatamente.

Introdução

Foi divulgado CVE‑2025‑43530, uma vulnerabilidade crítica que permite contornar o subsystem Transparency, Consent and Control (TCC) do macOS explorando o framework VoiceOver (ScreenReader.framework) e o serviço com.apple.scrod.

Como funciona a exploração

Pesquisas públicas indicam duas técnicas principais: injeção de código em binários assinados pela Apple e uma janela TOCTOU (Time‑Of‑Check‑Time‑Of‑Use) que permite manipular a verificação entre checagem e execução. VoiceOver opera com permissões elevadas de acessibilidade, o que torna a exploração capaz de enviar AppleEvents arbitrários e executar AppleScript em aplicações como Finder.

Impacto

A exploração conduz a bypass completo das proteções TCC: leitura de documentos, acesso a microfone/câmera e execução de AppleScript sem consentimento do usuário. O pesquisador jhftss publicou um proof‑of‑concept público, o que aumenta a probabilidade de exploração ativa.

Correção e recomendações

  • Apple corrigiu o problema em macOS 26.2, introduzindo validação baseada em entitlement (com.apple.private.accessibility.scrod) e verificação via audit token do cliente.
  • Recomenda‑se atualização imediata para macOS 26.2 ou superior para todos os usuários e, em especial, ativos corporativos com dados sensíveis.
  • Para administradores MDM: aplicar atualização em toda frota, revogar privilégios desnecessários de acessibilidade e monitorar eventos AppleEvent/AppleScript anômalos.

Considerações operacionais

Ambientes que depositam confiança em controles TCC como camada primária devem assumir que sistemas não atualizados podem vazar dados sensíveis ou permitir comandos remotos via scripts automatizados. A disponibilidade de PoC pública exige resposta rápida para reduzir janelas de exploração.

O que falta

As divulgações públicas não incluem métricas de exploração em campo ou listas detalhadas de exploits em uso por grupos específicos. Falta também informação sobre eventuais detecções em escala por fornecedores de EDR/antivírus no período imediatamente anterior à correção.

Fonte: Cyber Security News (referência a relatório e PoC jhftss)

Baseado em publicação original de Cyber Security News
Tags: #macos #cve-2025-43530 #tcc #voiceover #apple #applescript #bypass #po c #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar