La vulnerabilità zero-day in macOS Finder consente l'esecuzione silenziosa del codice
Una vulnerabilità zero-day appena scoperta nel componente Finder di macOS consente l'esecuzione di codice e l'esecuzione silenziosa di comandi arbitrari, hanno rivelato i ricercatori di sicurezza. La divulgazione è stata effettuata tramite SSD Secure Disclosure, una piattaforma finalizzata alla segnalazione responsabile e alla divulgazione delle vulnerabilità ai fornitori.
Secondo i ricercatori, la vulnerabilità risiede nel modo in cui macOS Finder gestisce i file .inetloc. Assomigliano alle scorciatoie web utilizzate su macchine Windows, ma hanno funzionalità un po' più ampie. Un file .inetloc può puntare non solo a un sito Web o a un URL, ma anche a feed di notizie o persino a posizioni Telnet.
Il problema deriva da una funzionalità aggiuntiva dei file .inetloc: possono puntare a documenti locali che risiedono sul disco rigido di un utente, utilizzando lo stesso formato di file. Funziona in modo simile a come funzionano i collegamenti ai file sui sistemi Windows, dove la parte http:// del file .inetloc viene sostituita con file://.
Un attore di minacce dovrebbe solo creare un file .inetloc alterato e dannoso che contenga comandi incorporati al suo interno. Una volta che il file alterato è stato prodotto, è solo questione di diffonderlo a un numero sufficiente di vittime, utilizzando campagne di malspam e ingegneria sociale per indurre gli utenti ad aprire l'allegato dannoso.
È importante sottolineare che il problema riguarda anche macOS Big Sur, la versione corrente del sistema operativo e non si limita alle versioni precedenti o senza patch. Il problema è stato segnalato alla piattaforma SSD Secure Disclosure da un ricercatore indipendente di nome Park Minchan.
In risposta, Apple ha rapidamente rilasciato una patch di aggiornamento rapido, ma non ha presentato una voce CVE per il problema. Tuttavia, secondo i ricercatori, la correzione non ha risolto completamente il problema.
La correzione ha fatto sì che il prefisso file:// non funzionasse più, ma la patch faceva distinzione tra maiuscole e minuscole, il che significa che File:// può ancora aggirare la correzione.
ThreatPost ha riferito che non ci sono informazioni sullo sfruttamento attivo della vulnerabilità in questione e ha dichiarato di non aver ricevuto risposta quando ha contattato Apple per ulteriori commenti.