獨立安全研究人員 Park Minchan 剛剛發現了 macOS“訪達”(Finder)文件資源管理器中一個零日漏洞。若被利用,運行新版 Big Sur 之前的所有 macOS 設備,都將面臨可被攻擊者在 Mac 上運行任意命令的威脅。即使安全研究人員尚未向外界披露完整的概念驗證代碼,但目前並不排除有被也在積極利用的可能。
(via Bleeping Computer)
Park Minchan 指出,問題源於 macOS 對 inetloc 文件的處理方式,導致其會在沒有任何警告或提示的情況下運行攻擊者嵌入的任何命令。
在 macOS 系統上,帶有 .inetloc 擴展名的 Internet 位置文件,可以作為一個全局書籤來打開 news://、ftp://、afp:// 等在線資源或本地文件(file://)。
由 SSD Disclosure 今日披露的公告可知,macOS Finder 中的一個漏洞,允許擴展名為 inetloc 的文件執行任意命令.
這些文件可被嵌入電子郵件中,若用戶不慎點擊,就會讓系統執行嵌入其中的命令、而不會發出任何提示或警告。
(圖自:SSD-Disclosure)
儘管蘋果在沒有分配 CVE 編號的情況下悄悄修復了該問題,但正如 Park Minchan 後續指出的那樣 —— 該公司的補丁僅部分解決了該缺陷。
因為在將用於執行嵌入命令的協議從 file:// 改成 FiLe:// 之後,同樣的套路依然可以生效。SSD-Disclosure 指出:
較新版本的 macOS(Big Sur 分支)會在 com.apple.generic-internet-location 中阻止 file:// 前綴,但攻擊者仍可通過大小寫匹配漏洞來繞過安全檢查。
我們已經向蘋果通報了這一疏漏,但自報告發布以來,尚未收到該公司的任何回應。且截止目前,其仍未通過補丁來修復。
儘管安全研究人員沒有披露該漏洞的攻擊利用細節,但威脅參與者顯然會大肆利用這點來創建惡意電子郵件。當用戶不慎點開時,相關附件就能夠啟動捆綁或遠程的有效惡意負載。