独立安全研究人员Park Minchan 刚刚发现 macOS“访达”(Finder)零日漏洞在文件资源管理器中。如果使用,运行新版 Big Sur 之前所有 macOS 设备将面临可攻击者Mac 操作任何命令的威胁。即使安全研究人员没有向外界披露完整的概念验证代码,也不能排除积极使用的可能性。
(via Bleeping Computer)
Park Minchan 指出问题来自 macOS 对 inetloc 文件的处理导致攻击者嵌入的任何命令,无需任何警告或提示。
在 macOS 系统上,有 .inetloc 扩展名的 Internet 位置文件可以作为全局书签打开 news://、ftp://、afp://(file://)。
- 由 SSD Disclosure 今日披露的公告显示,macOS Finder 中的一个漏洞允许扩展称为 inetloc 文件执行任意命令.
- 这些文件可以嵌入到电子邮件中。如果用户不小心点击,系统将执行嵌入的命令,而不会发出任何提示或警告。
(图自:SSD-Disclosure)
虽然苹果没有分配 CVE 在编号的情况下悄悄修复了问题,但就像 Park Minchan 后续指出的 —— 公司的补丁只部分解决了缺陷。
从 开始执行嵌入命令的协议file:// 改成 FiLe:// 之后,同样的套路还能生效。SSD-Disclosure 指出:
- 的新版本macOS(Big Sur 分支)会在
- com.apple.generic-internet-location 中阻止 file:/ 前缀,但攻击者仍可通过大小写匹配漏洞绕过安全检查。
- 我们已经向苹果报告了这一遗漏,但该公司自报告发布以来没有收到任何回应。到目前为止,它还没有通过补丁来修复。
虽然安全研究人员没有披露攻击利用漏洞的细节,但威胁参与者显然会利用这一点来创建恶意电子邮件。当用户意外点击时,相关附件可以启动捆绑或远程有效的恶意负载。