Une vulnérabilité zero-day dans macOS affectant Big Sur et les versions antérieures a été découverte. Le bogue réside dans le système macOS Finder et pourrait permettre à un attaquant distant d'inciter les utilisateurs à exécuter des commandes arbitraires. Apparemment, il n'y a toujours pas de patch pour le problème, qui a été découvert par le chercheur indépendant en sécurité Park Minchan et signalé au programme SSD Secure Disclosure.
Un chercheur indépendant en sécurité, Parc Minchan, a signalé cette vulnérabilité au programme SSD Secure Disclosure.
Système de recherche macOS Zero-Day expliqué
La vulnérabilité provient de la façon dont le système d'exploitation d'Apple traite inetloc fichiers - de manière à ce qu'il exécute des commandes intégrées à l'intérieur. Selon l'avis, les commandes qu'il exécute peuvent être locales au macOS permettant l'exécution de commandes arbitraires par l'utilisateur sans aucun avertissement ni invite.
Ces fichiers sont à l'origine des raccourcis vers un emplacement Internet, comme un flux RSS ou un emplacement telnet. Ils contiennent l'adresse du serveur et probablement un nom d'utilisateur et un mot de passe pour les connexions SSH et telnet, et peut être créé en tapant une URL dans un éditeur de texte et en faisant glisser le texte sur le bureau.
"Si la inetloc le fichier est joint à un e-mail, cliquer sur la pièce jointe déclenchera la vulnérabilité sans avertissement," le conseil souligné. "Les nouvelles versions de macOS (de Big Sur) ont bloqué le fichier:// préfixe (dans le com.apple.generic-internet-location) cependant ils ont fait une correspondance de cas causant Fichier:// ou déposer:// contourner le chèque,” les chercheurs ont ajouté.
Les chercheurs ont averti Apple mais n'ont reçu aucune réponse jusqu'à présent. La vulnérabilité n'a pas encore été corrigée, comme il apparaît.
Précédent Apple Zero-Days
Plus tôt ce mois-ci, un autre zero-day effrayant, vulnérabilité zéro-clic dans tous les types d'appareils Apple, qui comprend les Macs, iPhones, iPad, et WatchOS a été signalé. La faille a été appelée ENTRÉE FORCÉE. Plus précisement, la faille est un exploit zéro-clic contre iMessage, ciblant la bibliothèque de rendu d'images d'Apple.
En Avril 2021, Apple a corrigé un autre jour zéro qui pourrait contourner les protections anti-malware du système d'exploitation. Une variante du malware Shlayer bien connu a été détectée en exploitant la faille.