獨(dú)立安全研究人員 Park Minchan 剛剛發(fā)現(xiàn)了 macOS“訪達(dá)”(Finder)文件資源管理器中一個(gè)零日漏洞。若被利用，運(yùn)行新版 Big Sur 之前的所有 macOS 設(shè)備，都將面臨可被攻擊者在 Mac 上運(yùn)行任意命令的威脅。即使安全研究人員尚未向外界披露完整的概念驗(yàn)證代碼，但目前無法排除其有被積極利用的可能。

[[425068]]

(via Bleeping Computer)

Park Minchan 指出，問題源于 macOS 對(duì) inetloc 文件的處理方式，導(dǎo)致其會(huì)在沒有任何警告或提示的情況下運(yùn)行攻擊者嵌入的任何命令。

在 macOS 系統(tǒng)上，帶有 .inetloc 擴(kuò)展名的 Internet 位置文件，可以作為一個(gè)全局書簽來打開 news://、ftp://、afp:// 等在線資源或本地文件(file://)。

• 由 SSD Disclosure 今日披露的公告可知，macOS Finder 中的一個(gè)漏洞，允許擴(kuò)展名為 inetloc 的文件執(zhí)行任意命令.
• 這些文件可被嵌入電子郵件中，若用戶不慎點(diǎn)擊，就會(huì)讓系統(tǒng)執(zhí)行嵌入其中的命令、而不會(huì)發(fā)出任何提示或警告。

(圖自：SSD-Disclosure)

盡管蘋果在沒有分配 CVE 編號(hào)的情況下悄悄修復(fù)了該問題，但正如 Park Minchan 后續(xù)指出的那樣 —— 該公司的補(bǔ)丁僅部分解決了該缺陷。

因?yàn)樵趯⒂糜趫?zhí)行嵌入命令的協(xié)議從 file:// 改成 FiLe:// 之后，同樣的套路依然可以生效。SSD-Disclosure 指出：

• 較新版本的 macOS(Big Sur 分支)會(huì)在
• com.apple.generic-internet-location 中阻止 file:// 前綴，但攻擊者仍可通過大小寫匹配漏洞來繞過安全檢查。
• 我們已經(jīng)向蘋果通報(bào)了這一疏漏，但自報(bào)告發(fā)布以來，尚未收到該公司的任何回應(yīng)。且截止目前，其仍未通過補(bǔ)丁來修復(fù)。

盡管安全研究人員沒有披露該漏洞的攻擊利用細(xì)節(jié)，但威脅參與者顯然會(huì)大肆利用這點(diǎn)來創(chuàng)建惡意電子郵件。當(dāng)用戶不慎點(diǎn)開時(shí)，相關(guān)附件就能夠啟動(dòng)捆綁或遠(yuǎn)程的有效惡意負(fù)載。