Eine Zero-Day-Schwachstelle in macOS, die Big Sur und frühere Versionen betrifft, wurde entdeckt. Der Fehler liegt im macOS Finder-System und könnte es einem Remote-Angreifer ermöglichen, Benutzer dazu zu bringen, beliebige Befehle auszuführen. Offenbar, Es gibt noch keinen Patch für das Problem, die vom unabhängigen Sicherheitsforscher Park Minchan entdeckt und an das SSD Secure Disclosure-Programm gemeldet wurde.
Ein unabhängiger Sicherheitsforscher, Park Minchan, hat diese Sicherheitsanfälligkeit dem SSD Secure Disclosure-Programm gemeldet.
macOS Finder System Zero-Day erklärt
Die Schwachstelle ergibt sich aus der Art und Weise, wie das Betriebssystem von Apple verarbeitet wird inetloc Dateien – so dass es Befehle ausführt, die darin eingebettet sind. Nach Angaben des Beratungs, Die ausgeführten Befehle können lokal für das macOS sein, sodass der Benutzer beliebige Befehle ohne Warnung oder Aufforderung ausführen kann.
Diese Dateien sind ursprünglich Verknüpfungen zu einem Internet-Speicherort, wie ein RSS-Feed oder ein Telnet-Standort. Sie enthalten die Serveradresse und wahrscheinlich einen Benutzernamen und ein Passwort für SSH- und Telnet-Verbindungen, und kann erstellt werden, indem Sie eine URL in einen Texteditor eingeben und den Text auf den Desktop ziehen.
„Wenn die inetloc Datei ist an eine E-Mail angehängt, ein Klick auf den Anhang löst die Sicherheitslücke ohne Vorwarnung aus," die Beratung wies darauf hin. „Neuere Versionen von macOS (aus Big Sur) habe die blockiert Datei:// Präfix (im com.apple.generic-internet-location) Sie haben jedoch einen Fallabgleich durchgeführt, der verursacht hat Datei:// oder Datei:// um den Check zu umgehen,“ fügten die Forscher hinzu.
Die Forscher haben Apple benachrichtigt, aber bisher keine Antwort erhalten. Die Schwachstelle wurde noch nicht gepatcht, wie es scheint.
Vorherige Apple Zero-Days
Früher in diesem Monat, ein weiterer beängstigender Zero-Day, Zero-Click-Sicherheitslücke bei allen Arten von Apple-Geräten, einschließlich Macs, iPhones, iPads, und WatchOS wurde gemeldet. Der Fehler wurde genannt EINBRUCH. Genauer, Der Fehler ist ein Zero-Click-Exploit gegen iMessage, auf die Bildwiedergabebibliothek von Apple ausgerichtet.
Im April 2021, Apple hat einen weiteren Zero-Day behoben, der den Anti-Malware-Schutz des Betriebssystems umgehen. Es wurde eine Variante der bekannten Shlayer-Malware entdeckt, die den Fehler ausnutzt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: