独立安全研究员ParkMinchan刚刚在macOSFinder文件资源管理器中发现了一个零日漏洞。如果被利用,所有运行在新版BigSur之前的macOS设备都有可能在Mac上运行任意命令。尽管安全研究人员尚未向外界披露完整的概念验证代码,但目前不能排除被主动利用的可能性。(来自BleepingComputer)ParkMinchan指出,问题源于macOS处理inetloc文件的方式,导致它在没有任何警告或提示的情况下运行攻击者嵌入的任何命令。在macOS系统上,扩展名为.inetloc的Internet位置文件可用作全局书签,以打开在线资源,例如news://、ftp://、afp://或本地文件(file://)。根据SSDDisclosure今天披露的公告,macOSFinder中的一个漏洞允许扩展名为inetloc的文件执行任意命令。这些文件可以嵌入到电子邮件中,如果用户不小心点击了,系统就会执行嵌入的程序。命令而不发出任何提示或警告。(图片来自:SSD-Disclosure)尽管苹果公司在没有分配CVE编号的情况下悄悄修复了这个问题,正如ParkMinchan后来指出的那样——该公司的补丁只解决了部分漏洞。因为在将用于执行嵌入式命令的协议从file://更改为File://之后,相同的例程仍然有效。SSD-Disclosure说明:较新版本的macOS(BigSur分支)阻止了com.apple.generic-internet-location中的file://前缀,但攻击者仍然可以通过大小写匹配漏洞绕过安全检查。我们已将此遗漏通知Apple,但自报告发布以来未收到该公司的回复。截至目前,它还没有被补丁修复。尽管安全研究人员没有透露漏洞利用的细节,但威胁参与者显然正在利用此漏洞创建恶意电子邮件。当用户不小心点击它时,关联的附件可以启动捆绑或远程有效负载。
