macOS 出現安全漏洞,蘋果卻只補一半

作者 | 發布日期 2021 年 09 月 23 日 16:02 | 分類 macOS , 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


根據外媒《9to5mac》報導,Mac 出現一個安全漏洞,當用戶透過電子信箱打開郵件時,駭客就能接管這個設備。蘋果聲稱已經修補 Big Sur 和 Monterey 中的漏洞,但研究人員認為,蘋果並沒有修補完全,仍存在一些漏洞。

安全研究人員 Park Minchan 發現,蘋果 macOS 中的一個程式碼執行錯誤,允許駭客遠距在用戶的設備上執行任何命令,方法是以 inetloc 做為附檔名的網路捷徑檔案。

inetloc 是個網路位置的捷徑檔,並包含伺服器位址,專門存放網路資源或是本地端的檔案。Minchan 解釋,macOS 處理 inetloc 檔案的方式存在漏洞,只要駭客透過電子郵件夾帶惡意的 inetloc 檔案,就能觸發該漏洞,使檔案中的惡意命令運作,並在用戶沒收到任何警告 / 提示的情況下執行任意命令。

這個漏洞還影響 macOS Big Sur 和之前的版本。更糟糕的是,技術資訊網站 Ars Technica 測試過後發現蘋果還沒完全修補好它。

Minchan 表示,網路捷徑在 Windows 和 macOS 系統中都存在,但這個特定的漏洞對 macOS 用戶產生不利影響,特別是使用像「郵件」(Mail)App 這樣的內建電子信箱的用戶。

目前,蘋果已經修補這個漏洞,封鎖 file:// 開頭的 URL,但這個修補程式有分大小寫,因此大小寫混合的 URL,例如 FiLe://、File:// 或 fIle:// 仍能夠以完全相同的方式運行,而且到目前為止還沒有被修補。

(首圖來源:pixabay

關鍵字: , ,