Недавно обнаруженная ошибка во всех версиях macOS, включая macOS Big Sur, позволяет злоумышленникам удаленно запускать произвольный код с помощью файлов, вложенных в электронные письма.
Уязвимость, обнаруженная независимым исследователем Парком Минчаном и опубликованная в SSD Secure Disclosure, позволяет файлам с расширением inetloc выполнять произвольные команды без предварительного запроса пользователя системы.
Злоумышленники могут поместить файлы inetloc в сообщения электронной почты в качестве вложений, которые (если на них нажать!), выполнят встроенный код. Неизвестно, использовался ли эксплойт в реальных условиях, но злоумышленники могут использовать его для внедрения последующей загрузки вредоносного ПО на Mac.
Как отмечает издание BleepingComputer, заметившее отчёт SSD Secure Disclosure, файлы с расширением inetloc могут считаться системными закладками для онлайн-ресурсов, таких как RSS-каналы или telnet-зоны. Они также могут использоваться для взаимодействия с локальными файлами через file://.
Как сообщается, Apple исправила ошибку с file://, но не заблокировала другие итерации префикса, такие как, например, File://, что означает, что потенциальные злоумышленники могут легко обойти встроенные средства защиты. По словам Минчана, технологический гигант также не присвоил ошибке обозначение в базе данных CVE.
Ранее Apple выпустила седьмую бета-версию macOS Monterey нового поколения для тестирования разработчиками перед ожидаемым публичным релизом осенью этого года. Содержит ли последняя сборка исправление недавно обнаруженной уязвимости inetloc, неизвестно.
AppleInsider Staff
Ещё по теме:
- Apple предлагает шесть месяцев бесплатной подписки на Apple Music владельцам AirPods и Beats
- Apple переделала режим «Не беспокоить» в iOS 15. Некоторым пользователям это категорически не понравилось
- В этот четверг ЕС продолжит принятие закона о зарядных устройствах типа USB-C
