APP下载

macOS含有一个可用来执行任意程式的安全漏洞

消息来源:baojiabao.com 作者: 发布时间:2024-11-28

报价宝综合消息macOS含有一个可用来执行任意程式的安全漏洞

情境示意图,图片来源/苹果

研究人员于本周揭露,macOS的Finder中含有一个安全漏洞,将允许骇客执行任意程式。尽管苹果曾经在未赋予漏洞编号的状态下悄悄修补了该漏洞,然而,苹果并未修补完全,且已有概念性验证程式问世,恐让骇客有机可趁。

此一漏洞是由一名独立的安全研究人员Park Minchan所发现,并提报给专门中介漏洞的SSD Secure Disclosure。

Finder为macOS中预设的程式,可用来管理档案、硬盘、网络或其它的应用程序,包括可开启以inetloc作为副档名的程式,inetloc是个网络位置的捷径档,专门存放网络资源或是本地端的档案。

根据SSD Secure Disclosure的说明,该漏洞存在于macOS处理inetloc档案的方式,由于它可执行嵌入在inetloc档案的命令,倘若骇客透过电子邮件夹带恶意的inetloc档案,就能触发该漏洞并执行任意程式。

虽然苹果已在最新的macOS Big Sur封锁了用来执行嵌入式命令的file://协定,却依然放行File:// 或 fIle:// ,而且迄今尚未修补。

SSD Secure Disclosure在资安社群扮演了漏洞中介的角色,认为研究人员所发现的安全漏洞都值得奖励,该公司除了可协助安全研究人员向业者提报安全漏洞之外,就算业者并未发表抓漏专案,也愿意向安全研究人员购买漏洞,再向业者提报,同时也承诺“负责任的披露”(Responsible Disclosure)。

SSD Secure Disclosure表示,该公司其实有通知苹果,但并未取得苹果的回应。

2021-09-22 15:46:00

相关文章