Er is een zero-day-kwetsbaarheid in macOS ontdekt die van invloed is op Big Sur en eerdere versies. De bug zit in het macOS Finder-systeem en kan een externe aanvaller in staat stellen gebruikers te misleiden om willekeurige opdrachten uit te voeren. Blijkbaar, er is nog steeds geen patch voor het probleem, die werd ontdekt door de onafhankelijke beveiligingsonderzoeker Park Minchan en gerapporteerd aan het SSD Secure Disclosure-programma.
Een onafhankelijke beveiligingsonderzoeker, Park Minchan, heeft deze kwetsbaarheid gemeld bij het SSD Secure Disclosure-programma.
macOS Finder-systeem Zero-Day uitgelegd
De kwetsbaarheid komt voort uit de manier waarop het besturingssysteem van Apple wordt verwerkt inetloc bestanden - op een manier dat het ervoor zorgt dat het opdrachten uitvoert die erin zijn ingebed. Volgens de adviserende, de opdrachten die het uitvoert, kunnen lokaal zijn voor macOS, waardoor de gebruiker willekeurige opdrachten kan uitvoeren zonder enige waarschuwing of prompts.
Deze bestanden zijn oorspronkelijk snelkoppelingen naar een internetlocatie, zoals een RSS-feed of een telnet-locatie. Ze bevatten het serveradres en waarschijnlijk een gebruikersnaam en wachtwoord voor SSH- en telnet-verbindingen, en kan worden gemaakt door een URL in een teksteditor te typen en de tekst naar het bureaublad te slepen.
“Als de inetloc bestand is bijgevoegd bij een e-mail, klikken op de bijlage activeert de kwetsbaarheid zonder waarschuwing," het advies wees erop. “Nieuwe versies van macOS (van Big Sur) heb de geblokkeerd bestand:// voorvoegsel (in de com.apple.generic-internet-locatie) maar ze deden een case-matching waardoor Bestand:// of het dossier:// om de cheque te omzeilen,"voegden de onderzoekers eraan toe".
De onderzoekers hebben Apple op de hoogte gebracht, maar hebben tot nu toe geen reactie ontvangen. De kwetsbaarheid is nog niet verholpen, zoals weergegeven.
Vorige Apple Zero-Days
Eerder deze maand, weer een enge zero-day, zero-click-kwetsbaarheid in alle soorten Apple-apparaten, inclusief Macs, iPhones, iPads, en WatchOS werd gemeld. De fout is genoemd INBRAAK. Specifieker, de fout is een zero-click exploit tegen iMessage, gericht op de beeldweergavebibliotheek van Apple.
In april 2021, Apple heeft nog een zero-day gerepareerd die zou kunnen de anti-malwarebeveiligingen van het besturingssysteem omzeilen. Er is een variant van de bekende Shlayer-malware gedetecteerd die misbruik maakte van de fout.