在macOS中发现了一个新的零日漏洞. 该漏洞影响到所有macOS版本,直到最新发布的大苏尔. 该漏洞是由独立安全研究人员Park Minchan发现的,与macOS处理智能文件的方式有关. 这种处理方法允许攻击者嵌入恶意命令,系统将在不向目标机器的用户发出任何警告或提示的情况下执行这些命令.

Interloc是“互联网位置文件”的缩写,扩展名为“*”.interloc”

最近发布的一份SSD安全披露报告对新发现的漏洞这样说:

" macOS Finder中的一个漏洞允许扩展名为inetloc的文件执行任意命令. 这些文件可以嵌入到电子邮件中,如果用户点击它们,就会执行嵌入其中的命令,而不向用户提供提示或警告."

在这个特殊的例子中,苹果在没有给它分配一个CVE识别码的情况下悄悄修补了这个问题.

不幸的是,修复只是部分的,目前这个bug仍然可以在某些情况下被利用,如下所述:

更新版本的macOS(来自大苏尔)已经阻止了文件://前缀(在com.苹果.generic-internet-location),但是他们做了一个大小写匹配,导致File://或File://绕过检查. EVO视讯APP已经通知苹果,文件://(只是破坏了值)似乎没有被阻止, 但自报告发布以来,尚未收到他们的任何回应. 据EVO视讯APP所知,目前这个漏洞还没有被修复."

Park Minchan开发了一个概念证明,证明了该漏洞如何被利用,但迄今为止,还没有发现在野外利用该漏洞的威胁行为者. 不过,这只是时间问题. 这样的漏洞代表了操作系统安全方面的一个严重缺陷.

要知道,利用这个漏洞最简单的方法是通过电子邮件中嵌入的恶意链接,所以要确保你的员工意识到这种风险.

在文章聚合器的许可下使用