Apple частично исправляет новую уязвимость нулевого дня в macOS Finder

article thumbnail

Недавно обнаруженная ошибка во всех версиях macOS, включая последнюю версию macOS Big Sur, позволяет злоумышленникам удаленно запускать произвольный код с помощью файлов, встроенных в электронные письма.

Уязвимость, обнаруженная независимым исследователем Пак Минчан и сообщенная SSD Secure Disclosure, позволяет файлам с расширением inetloc выполнять произвольные команды без предварительного запроса пользователя Mac.

Злоумышленники могут включать файлы inetloc в сообщения электронной почты в качестве вложений, при нажатии на которые встроенный код запускается локально. Неясно, использовался ли эксплойт в «дикой природе», но злоумышленники, вероятно, могли использовать ошибку, чтобы доставить вредоносные полезные данные пользователям Mac.

Как отмечает BleepingComputer, который во вторник был обнаружен в отчете SSD Secure Disclosure, файлы местоположения в Интернете с расширениями inetloc можно считать общесистемными закладками для онлайн-ресурсов, таких как RSS-каналы или местоположения telnet. Их также можно использовать для взаимодействия с локальными файлами через file: //.

Сообщается, что Apple исправила file: //, но не смогла заблокировать другие итерации префикса, такие как File: // или fIle: //, что означает, что потенциальные злоумышленники могут легко обойти встроенные меры безопасности. По словам Минчана, технический гигант также не смог присвоить ошибке обозначение CVE.

Сегодня Apple выпустила седьмую бета-версию своей macOS Monterey следующего поколения для тестирования разработчиками в преддверии ожидаемого публичного дебюта этой осенью. Неизвестно, содержат ли последние сборки постоянное исправление недавно обнаруженной уязвимости inetloc.

Соцсети