MacOS Finder'daki Sıfır Gün Güvenlik Açığı Sessiz Kod Yürütülmesine İzin Veriyor

Güvenlik araştırmacıları, macOS'un Finder bileşeninde yeni keşfedilen sıfırıncı gün güvenlik açığının kod yürütülmesine ve rastgele komutların sessizce çalıştırılmasına olanak tanıdığını ortaya çıkardı. Açıklama, güvenlik açıklarının satıcılara sorumlu bir şekilde raporlanmasını ve açıklanmasını amaçlayan bir platform olan SSD Güvenli Açıklama aracılığıyla yapıldı.

Araştırmacılara göre, güvenlik açığı macOS Finder'ın .inetloc dosyalarıyla ilgilenme biçiminde yatıyor. Bunlar, Windows makinelerinde kullanılan web kısayollarına benzer, ancak biraz daha geniş işlevselliğe sahiptir. Bir .inetloc dosyası yalnızca bir web sitesine veya URL'ye değil, aynı zamanda haber akışlarına ve hatta Telnet konumlarına da işaret edebilir.

Sorun, .inetloc dosyalarının sahip olduğu fazladan bir işlevsellikten kaynaklanmaktadır - aynı dosya biçimini kullanarak bir kullanıcının sabit diskinde bulunan yerel belgeleri işaret edebilirler. Bu, .inetloc dosyasının http:// bölümünün file:// ile değiştirildiği Windows sistemlerinde dosya kısayollarının nasıl çalıştığına benzer şekilde çalışır.

Bir tehdit aktörünün yalnızca, içine gömülü komutlar içeren, üzerinde değişiklik yapılmış, kötü amaçlı bir .inetloc dosyası oluşturması gerekir. Üzerinde değişiklik yapılmış dosya bir kez oluşturulduktan sonra, yalnızca kötü amaçlı e-posta kampanyalarını ve sosyal mühendisliği kullanarak kullanıcıların kötü amaçlı eki açmasını sağlamak için onu yeterli sayıda kurbana yaymak yeterlidir.

Daha da önemlisi, sorun işletim sisteminin güncel sürümü olan macOS Big Sur'u da etkiliyor ve eski veya yama uygulanmamış sürümlerle sınırlı değil. Sorun, Park Minchan adlı bağımsız bir araştırmacı tarafından SSD Güvenli Açıklama platformuna bildirildi.

Yanıt olarak, Apple hızlı bir şekilde bir düzeltme yaması yayınladı, ancak sorun için bir CVE girişi dosyalamadı. Ancak araştırmacılara göre, düzeltme sorunu tamamen çözmedi.

Düzeltme, file:// önekinin artık çalışmamasına neden oldu, ancak yama büyük/küçük harfe duyarlıydı, bu da File:// düzeltmeyi aşmaya devam edebileceği anlamına geliyor.

ThreatPost, söz konusu güvenlik açığından aktif olarak yararlanıldığına dair herhangi bir bilgi bulunmadığını bildirdi ve daha fazla yorum için Apple ile iletişime geçtiğinde yanıt alamadıklarını belirtti.