Se ha descubierto una vulnerabilidad de día cero en macOS que afecta a Big Sur y versiones anteriores. El error reside en el sistema macOS Finder y podría permitir que un atacante remoto engañe a los usuarios para que ejecuten comandos arbitrarios.. Al parecer,, todavía no hay un parche para el problema, que fue descubierto por el investigador de seguridad independiente Park Minchan y reportado al programa SSD Secure Disclosure.
Un investigador de seguridad independiente, Parque Minchan, ha informado de esta vulnerabilidad al programa SSD Secure Disclosure.
Explicación del día cero del sistema macOS Finder
La vulnerabilidad se debe a la forma en que procesa el sistema operativo de Apple inetloc archivos - de una manera que hace que ejecute comandos incrustados dentro. Según el aviso, Los comandos que ejecuta pueden ser locales para macOS, lo que permite la ejecución de comandos arbitrarios por parte del usuario sin ninguna advertencia o solicitud..
Estos archivos son originalmente accesos directos a una ubicación de Internet., como una fuente RSS o una ubicación telnet. Contienen la dirección del servidor y probablemente un nombre de usuario y contraseña para conexiones SSH y telnet., y se puede crear escribiendo una URL en un editor de texto y arrastrando el texto al escritorio.
"Si el inetloc el archivo está adjunto a un correo electrónico, Al hacer clic en el archivo adjunto, se activará la vulnerabilidad sin previo aviso.," el aviso señalado. "Versiones más recientes de macOS (de Big Sur) han bloqueado el expediente:// prefijo (en el com.apple.generic-internet-location) sin embargo, hicieron una coincidencia de casos que provocó Archivo:// o expediente:// para evitar el cheque,”Agregaron los investigadores.
Los investigadores han notificado a Apple, pero hasta ahora no han recibido respuesta.. La vulnerabilidad aún no se ha corregido., como aparece.
Días cero de Apple anteriores
A principios de este mes, otro aterrador día cero, Vulnerabilidad de clic cero en todo tipo de dispositivos Apple, Incluidos los Macs, iPhones, iPads, y se informó WatchOS. El defecto ha sido llamado ENTRENAMIENTO FORZOSO. Más específicamente, la falla es un exploit de cero clic contra iMessage, orientado a la biblioteca de procesamiento de imágenes de Apple.
En abril 2021, Apple arregló otro día cero que podría omitir las protecciones antimalware del sistema operativo. Se detectó una variante del conocido malware Shlayer aprovechando la falla..