Responderé a esta pregunta desde una perspectiva más bien teórica.
"He oído que los sitios web que descargan datos maliciosos en el usuario
una computadora sin su consentimiento existe, pero ¿es esto posible en una
iMac [...]? "
Sí. Como han señalado otros, esto es independiente del sistema operativo.
Una página web contiene o hace referencia a, y por lo tanto hace que el navegador cargue, datos en varios formatos. Como lo describió Serge, lo primero que se carga es HTML simple. Puede tener extensiones modernas como hojas de estilo. El HTML puede incrustar o referirse a medios de diversos tipos como imágenes, archivos de sonido, videos, scripts o animaciones flash que pueden descargarse y abrirse (es decir, decodificarse y luego reproducirse o mostrarse) por el navegador sin ninguna interacción del usuario más allá de abrir la página original .
El problema es que, en principio, cualquier decodificador para un formato de datos, incluido el HTML simple, puede tener errores que pueden ser explotados. (1) Esto incluye datos que normalmente son imágenes totalmente "pasivas" (para un ejemplo con imágenes JPEG, vea esta seguridad de Microsoft boletín de 2004 ). Un ejemplo trivial de hace 20 años fue un archivo GIF (formalmente correcto) que se expandió a un enorme mapa de bits. Un intento de mostrarlo en un navegador del espectador simplemente bloqueó la computadora, lo que es un ataque contundente de denegación de servicio. Para una explotación, los datos presentados en la página serían especialmente diseñados para producir un mal comportamiento del decodificador específico que eventualmente le permite al atacante colocar un código ejecutable en la memoria de la computadora que luego se ejecutará. El código original puede ser pequeño, digamos un salto a una rutina del sistema operativo que inicia un shell.
La estrategia de mitigación obvia es deshabilitar tantos formatos de datos como sea posible en el navegador. No hay videos, ni sonido, ni imágenes, ni secuencias de comandos.
Puede valer la pena repetir el mantra del bloguero alemán y experto en seguridad, Felix von Leitner. que los escáneres de virus solo ofrecen protección falsa (él los llama aceite de serpiente). Una razón es que nunca son perfectos y, por lo tanto, necesitan un usuario responsable de todos modos. La segunda razón, relevante aquí, es que ¡el escáner de virus en sí mismo es una gran superficie de ataque! Piensa en ello. Los escáneres modernos abren y analizan una gran cantidad de formatos de archivo, el mismo proceso que hemos establecido como el objetivo de ataque principal . Felix recientemente vinculado a un proyecto por Tavis Ormandy. Escribió un marco para cargar y ejecutar archivos DLL de Windows en Linux. Su motivación, como escribe en el README, fue hacer un fuzz de probar el motor principal de seguridad de MS:
MsMpEng es el servicio de protección contra malware que está habilitado de forma predeterminada
en Windows 8, 8.1, 10, Windows Server 2016, etc. Adicionalmente,
Microsoft Security Essentials, System Center Endpoint Protection y
varios otros productos de seguridad de Microsoft comparten el mismo motor central.
El componente principal de MsMpEng responsable de la exploración y el análisis es
llamado mpengine. Mpengine es una vasta y compleja superficie de ataque,
compuesto de manejadores para docenas de formatos de archivo esotéricos,
Empaquetadores ejecutables, emuladores de sistemas completos para varias arquitecturas.
e intérpretes para varios idiomas. Todo este código es accesible
a los atacantes remotos.
La razón para mencionar esto aquí es que incluso si su navegador maneja todo bien, su programa antivirus puede, irónicamente, traicionarlo, porque abre todos los archivos para usted.
(1) leethax0r1337fawkes tiene un punto, sin embargo, que los
errores conocidos de este tipo son raros y se solucionan lo antes posible, por razones obvias.