Она позволяла читать, скачивать и удалять файлы из облачного хранилища пользователей.
Эксперт из команды Positive Technologies Егор Филатов выявил и помог устранить уязвимость в облачном сервисе «Яндекс Диск» для устройств, работающих под управлением macOS. В случае успешной атаки злоумышленник мог получить доступ к корпоративному аккаунту и данным пользователей. Вендор оперативно выпустил обновление программного обеспечения после уведомления об угрозе в рамках политики ответственного разглашения.
По данным мониторинга угроз Positive Technologies, потенциально уязвимы были более 50 тысяч устройств по всему миру, большинство из которых находится в России (91%), а также в Германии (3%), Белоруссии и Казахстане (по 2%). Обновление ПО устраняет данную угрозу и повышает уровень защиты пользователей. В компании подчеркнули, что пользователям macOS необходимо обновить «Яндекс Диск» до версии 3.2.45.3275. В Positive Technologies рассказали:
Уязвимость PT-2025-447371 (CVE-2025-5470, BDU: 2025-08831) получила 7,3 балла из 10 по шкале CVSS 4.0, что соответствует высокому уровню угрозы. Найденная ошибка содержалась в «Яндекс Диске» версии 3.2.44 для компьютеров и ноутбуков Apple. Проэксплуатировав ее, атакующий смог бы читать, скачивать и удалять файлы из облачного хранилища пользователей. Полученную информацию нарушитель мог использовать для фишинговых атак.
