更多全球网络安全资讯尽在邑安全
安全研究人员在 Apple 的 macOS Finder 中披露了一个新的零日漏洞,攻击者可以利用该漏洞在 Mac 上运行任意命令。
独立安全研究员 Park Minchan 披露了苹果 macOS Finder 中的一个零日漏洞,攻击者可以利用该漏洞在运行任何 macOS 版本的 Mac 系统上运行任意命令。
该缺陷是由于 macOS 处理 inetloc 文件的方式导致它运行嵌入在其中的命令。根据 SSD Secure Disclosure 公告,它运行的命令可以在 macOS 本地运行,允许用户在没有任何提示的情况下执行任意命令。
Internet 位置文件是一种系统书签,双击后会打开在线资源或本地文件(file://)。
最初,该漏洞由 Apple 默默解决,但 Minchan 注意到,这家 IT 巨头仅部分解决了该漏洞。但是,专家发现仍然可以使用不同的协议(从 file:// 到 FiLe://)来利用该漏洞来执行嵌入的命令。
inetloc文件方式中的一个漏洞 导致它运行嵌入在其中的命令,它运行的命令可以是 macOS 本地的,允许用户在没有任何警告/提示的情况下执行任意命令。” 阅读SSD 安全披露公告。“较新版本的 macOS(来自 Big Sur)阻止了 file:// 前缀(在 com.apple.generic-internet-location 中)但是他们做了一个大小写匹配导致 File:// 或 file:// 绕过查看。”
原文来自: securityaffairs.co
原文链接: https://securityaffairs.co/wordpress/122447/hacking/zero-day-macos.html
推荐文章
1
2
下面我为粉丝整理了一套0基础入门红队测试教程,由于内容过于敏感,请速度领取,篇幅太长截取一部分出来,在文末附上领取方式,还有一套小编自己多年来的资料库(包含:全套防御工具包、Web安全视频从入门到进阶、攻防书籍PDF、CTF题库、安全进阶资料、渗透测试思维导图…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论