最新披露的一个漏洞让攻击者只需在电子邮件附件中放入特定类型的url就可以劫持升级后的mac电脑。
这个缺陷是由电脑发出哔哔声inetloc是一种Mac文件格式,它包含一个到互联网位置(如网站或其他服务器)的链接。
独立安全研究员Park Minchan发现,在inetloc文件中以“file://”而不是“http://”或“https://”开头的链接,可以在任何运行完全更新的macOS 11.6大Sur的Mac上运行任意代码,即hack。(“file://”前缀指定一个本地PC上的文件。)
“这些文件可以嵌入到电子邮件中,如果用户点击它们,就会执行嵌入其中的命令,而不会向用户提供提示或警告,”今天(9月21日)的一个未签名的帖子说SSD-Disclosurebug报告的网站。
苹果显然修补了这个漏洞,使“file://”不再被滥用使用这个漏洞。然而,Park发现将字母大小写转换为前缀为“File://”或“File://”仍然有效。(url通常不区分大小写,所以“hTTpS://tomsGUIde.coM”和“//m.my-pmu.com”一样适用。)
这可能看起来像是一个零日漏洞,但更像是苹果知道这个漏洞却没有进行适当修补。Tom's Guide已经向苹果公司发送了一封电子邮件,寻求置评,但尚未收到回复。
“我们已经通知苹果,文件://(只是篡改了值)似乎没有被阻止,但没有收到任何回应,因为报告已经做出,”ssd披露发帖说。“据我们所知,目前这个漏洞还没有得到修补。”
怎样才能避免这种情况呢
Bleeping Computer测试了在帖子末尾提供的8行概念验证漏洞,并证实它确实在macOS大苏尔上工作。《汤姆指南》还没有机会试验这一壮举。
目前,避免这种攻击的唯一方法是不要打开你意想不到的电子邮件附件。在撰写本文时,所有的防病毒恶意软件检测引擎都未启用VirusTotal将概念证明代码标记为恶意代码。