Недавно обнаруженная ошибка во всех версиях macOS, включая macOS Big Sur, позволяет злоумышленникам удаленно запускать произвольный код с помощью файлов, вложенных в электронные письма.

Уязвимость, обнаруженная независимым исследователем Парком Минчаном и опубликованная в SSD Secure Disclosure, позволяет файлам с расширением inetloc выполнять произвольные команды без предварительного запроса пользователя системы.

Злоумышленники могут поместить файлы inetloc в сообщения электронной почты в качестве вложений, которые (если на них нажать!), выполнят встроенный код. Неизвестно, использовался ли эксплойт в реальных условиях, но злоумышленники могут использовать его для внедрения последующей загрузки вредоносного ПО на Mac.

Как отмечает издание BleepingComputer, заметившее отчёт SSD Secure Disclosure, файлы с расширением inetloc могут считаться системными закладками для онлайн-ресурсов, таких как RSS-каналы или telnet-зоны. Они также могут использоваться для взаимодействия с локальными файлами через file://.

Как сообщается, Apple исправила ошибку с file://, но не заблокировала другие итерации префикса, такие как, например, File://, что означает, что потенциальные злоумышленники могут легко обойти встроенные средства защиты. По словам Минчана, технологический гигант также не присвоил ошибке обозначение в базе данных CVE.

Apple представила macOS 12 Monterey
Всё, о чём рассказала Apple на WWDC

Ранее Apple выпустила седьмую бета-версию macOS Monterey нового поколения для тестирования разработчиками перед ожидаемым публичным релизом осенью этого года. Содержит ли последняя сборка исправление недавно обнаруженной уязвимости inetloc, неизвестно.


Apple partially patches new macOS Finder zero-day vulnerability | AppleInsider
A newly discovered bug in all versions of macOS, including the latest macOS Big Sur, allows attackers to run arbitrary code remotely with the help of files embedded in emails.

Ещё по теме: