Esta falha chegou à Apple a partir dos media, dado que o investigador divulgou a sua descoberta sem, contudo, fornecer detalhes acerca da mesma.

Dado que a Apple não possui programa de bug bounties para macOS, o investigador apenas aceitou divulgar detalhes técnicos da mesma, se o gigante fornecesse pagamento.

Além disso, o investigador disponibilizou um vídeo onde consegue, a partir de um exploit, extrair as passwords guardadas no keychain, um sistema de gestão de passwords.

Versões afetadas:

A última do macOS Mojave (10.14.3)

O exploit, para funcionar, não precisava de privilégios de administrador tanto para a app maliciosa como para a conta de utilizador. De salientar que esta falha apenas permite explorar a conta ou o keychain do utilizador em que esteja logado, e não o keychain de outros utilizadores.

Mais informações aqui: https://threatpost.com/macos-zero-day-exposes-apple-keychain-passwords/141584/