情境示意圖,圖片來源/蘋果

研究人員於本周揭露,macOS的Finder中含有一個安全漏洞,將允許駭客執行任意程式。儘管蘋果曾經在未賦予漏洞編號的狀態下悄悄修補了該漏洞,然而,蘋果並未修補完全,且已有概念性驗證程式問世,恐讓駭客有機可趁。

此一漏洞是由一名獨立的安全研究人員Park Minchan所發現,並提報給專門仲介漏洞的SSD Secure Disclosure。

Finder為macOS中預設的程式,可用來管理檔案、硬碟、網路或其它的應用程式,包括可開啟以inetloc作為副檔名的程式,inetloc是個網路位置的捷徑檔,專門存放網路資源或是本地端的檔案。

根據SSD Secure Disclosure的說明,該漏洞存在於macOS處理inetloc檔案的方式,由於它可執行嵌入在inetloc檔案的命令,倘若駭客透過電子郵件夾帶惡意的inetloc檔案,就能觸發該漏洞並執行任意程式。

雖然蘋果已在最新的macOS Big Sur封鎖了用來執行嵌入式命令的file://協定,卻依然放行File:// 或 fIle:// ,而且迄今尚未修補。

SSD Secure Disclosure在資安社群扮演了漏洞仲介的角色,認為研究人員所發現的安全漏洞都值得獎勵,該公司除了可協助安全研究人員向業者提報安全漏洞之外,就算業者並未發表抓漏專案,也願意向安全研究人員購買漏洞,再向業者提報,同時也承諾「負責任的披露」(Responsible Disclosure)。

SSD Secure Disclosure表示,該公司其實有通知蘋果,但並未取得蘋果的回應。


熱門新聞

Advertisement