BigSurおよび以前のバージョンに影響を与えるmacOSのゼロデイ脆弱性が発見されました. このバグはmacOSFinderシステムに存在し、リモートの攻撃者がユーザーをだまして任意のコマンドを実行させる可能性があります. どうやら, この問題に対するパッチはまだありません, これは、独立したセキュリティ研究者のPark Minchanによって発見され、SSDSecureDisclosureプログラムに報告されました。.
独立したセキュリティ研究者, パクミンちゃん, SSDSecureDisclosureプログラムにこの脆弱性を報告しました.
macOSFinderシステムのゼロデイの説明
この脆弱性は、Appleのオペレーティングシステムが処理する方法に起因します inetloc ファイル–内部に埋め込まれたコマンドを実行する方法で. アドバイザリーによると, 実行するコマンドはmacOSに対してローカルにすることができ、ユーザーは警告やプロンプトなしで任意のコマンドを実行できます。.
これらのファイルは元々インターネットの場所へのショートカットです, RSSフィードやTelnetの場所のように. サーバーアドレスと、SSHおよびTelnet接続用のユーザー名とパスワードが含まれている可能性があります, テキストエディタにURLを入力し、テキストをデスクトップにドラッグすることで作成できます.
「もし inetloc ファイルはメールに添付されています, 添付ファイルをクリックすると、警告なしに脆弱性がトリガーされます,」 アドバイザリー 指摘した. 「macOSの新しいバージョン (ビッグサーから) ブロックしました ファイル:// プレフィックス (の中に com.apple.generic-internet-location) しかし、彼らはケースマッチングを行いました ファイル:// また ファイル:// チェックをバイパスします,」研究者は付け加えた.
研究者はAppleに通知しましたが、これまでのところ応答はありません. 脆弱性にはまだパッチが適用されていません, 表示どおり.
以前のAppleゼロデイ
今月上旬, 別の恐ろしいゼロデイ, すべてのタイプのAppleデバイスにおけるゼロクリックの脆弱性, Macを含む, iPhone, iPad, そしてWatchOSが報告されました. 欠陥は呼ばれています 強制. すなわち, 欠陥はiMessageに対するゼロクリックエクスプロイトです, Appleの画像レンダリングライブラリをターゲットにする.
4月中 2021, Appleは、可能性のある別のゼロデイを修正しました オペレーティングシステムのマルウェア対策保護をバイパスする. この欠陥を悪用して、有名なShlayerマルウェアの亜種が検出されました.