首页 > 业界资讯 > 正文

Finder曝出可执行任意命令的零日漏洞 macOS尚未得到全面修复

  独立安全研究人员 Park Minchan 刚刚发现了 macOS“访达”(Finder)文件资源管理器中一个零日漏洞。 若被利用,运行新版 Big Sur 之前的所有 macOS 设备,都将面临可被攻击者在 Mac 上运行任意命令的威胁。 即使安全研究人员尚未向外界披露完整的概念验证代码,但目前无法排除其有被积极利用的可能。

(via Bleeping Computer )

  Park Minchan 指出,问题源于 macOS 对 inetloc 文件的处理方式,导致其会在没有任何警告或提示的情况下运行攻击者嵌入的任何命令。

  在 macOS 系统上,带有 .inetloc 扩展名的 Internet 位置文件,可以作为一个全局书签来打开 news://、ftp://、afp:// 等在线资源或本地文件(file://)。

  由 SSD Disclosure 今日披露的公告可知,macOS Finder 中的一个漏洞,允许扩展名为 inetloc 的文件执行任意命令.

  这些文件可被嵌入电子邮件中,若用户不慎点击,就会让系统执行嵌入其中的命令、而不会发出任何提示或警告。

  

(图自: SSD-Disclosure )

  尽管 苹果 在没有分配 CVE 编号的情况下悄悄修复了该问题,但正如 Park Minchan 后续指出的那样 —— 该公司的补丁仅部分解决了该缺陷。

  因为在将用于执行嵌入命令的协议从 file:// 改成 FiLe:// 之后,同样的套路依然可以生效。SSD-Disclosure 指出:

  较新版本的 macOS(Big Sur 分支)会在 com.apple.generic-internet-location 中阻止 file:// 前缀,但攻击者仍可通过大小写匹配漏洞来绕过安全检查。

  我们已经向苹果通报了这一疏漏,但自报告发布以来,尚未收到该公司的任何回应。且截止目前,其仍未通过补丁来修复。

  尽管安全研究人员没有披露该漏洞的攻击利用细节,但威胁参与者显然会大肆利用这点来创建恶意电子邮件。当用户不慎点开时,相关附件就能够启动捆绑或远程的有效恶意负载。

  【来源:cnBeta.COM】

网友评论

三日内热门评论文章
热门IT产品
  1. ¥7599
    苹果iPhoneX 64GB
    ·
  2. ¥5799
    三星S9
    ·
  3. ¥4498
    vivo NEX旗舰版
    ·
  4. ¥4999
    OPPO Find X
    ·
  5. ¥1799
    努比亚Z18mini
    ·
  6. ¥1499
    OPPO A5
    ·
  7. ¥1999
    荣耀Play(4GB RAM)
    ·
  8. ¥1598
    vivo Y85
    ·
  9. ¥3499
    坚果R1(6GB RAM)
    ·
  10. ¥3599
    一加6(8GB RAM)
    ·
为您推荐
  • 相关阅读
  • 业界资讯
  • 手机通讯
  • 电脑办公
  • 新奇数码
  • 软件游戏
  • 科学探索