Vulnerabilidad en Cursor (CVE-2024-45599)

Cursor es un editor de código de inteligencia artificial. Antes de la versión 0.41.0, si un usuario en macOS le había otorgado a Cursor acceso a la cámara o al micrófono, cualquier programa que se ejecutara en la máquina podía acceder a la cámara o al micrófono sin que se le otorgara acceso explícito, a través de una inyección DyLib utilizando la variable de entorno DYLD_INSERT_LIBRARIES. El uso de `com.apple.security.cs.allow-dyld-environment-variables` y `com.apple.security.cs.disable-library-validation` permite que se inyecte una librería dinámica externa en la aplicación utilizando la variable de entorno DYLD_INSERT_LIBRARIES. Además, el derecho `com.apple.security.device.camera` permite que la aplicación use la cámara del host y `com.apple.security.device.audio-input` permite que la aplicación use el micrófono. Esto significa que el código no confiable que se ejecuta en la máquina del usuario puede acceder a la cámara o al micrófono, si el usuario ya le dio permiso a Cursor para hacerlo. En la versión 0.41.0, los derechos se han dividido por proceso: el proceso principal obtiene los derechos de la cámara y el micrófono, pero no los derechos de DyLib, mientras que el proceso host de extensión obtiene los derechos de DyLib pero no los derechos de la cámara o el micrófono. Como workaround, no le dé explícitamente a Cursor el permiso para acceder a la cámara o al micrófono si los usuarios no confiables pueden ejecutar comandos arbitrarios en la máquina afectada.