*Vulnerabilidade de alta gravidade não corrigida afeta computadores Apple macOS
Pesquisadores de cibersegurança divulgaram na terça-feira detalhes de uma vulnerabilidade não corrigida no macOS Finder que pode ser abusada por adversários remotos para enganar os usuários e fazê-los executar comandos arbitrários nas máquinas.
“Uma vulnerabilidade no macOS Finder permite que arquivos cuja extensão é inetloc executem comandos arbitrários, esses arquivos podem ser incorporados em e-mails que, se o usuário clicar neles, executará os comandos incorporados neles sem fornecer um prompt ou aviso ao usuário”, SSD Secure Disclosure disse em um artigo publicado hoje.
Park Minchan, um pesquisador de segurança independente, recebeu o crédito por relatar a vulnerabilidade que afeta as versões macOS do Big Sur e anteriores.
A fraqueza surge devido à maneira como o macOS processa arquivos INETLOC - atalhos para locais da Internet como feeds RSS ou conexões Telnet contendo nome de usuário e senha para SSH - resultando em um cenário que permite que comandos embutidos nesses arquivos sejam executados sem qualquer aviso.
"O caso aqui do INETLOC se refere a um protocolo 'file: //' que permite rodar localmente (no computador do usuário) arquivos armazenados", disse SSD. "Se o arquivo INETLOC for anexado a um e-mail, clicar no anexo irá disparar a vulnerabilidade sem aviso."
Embora as versões mais recentes do macOS tenham bloqueado o prefixo 'file: //', descobriu-se que o uso de 'File: //' ou 'fIle: //' contornou a verificação de forma eficaz. Entramos em contato com a Apple e atualizaremos a história se recebermos uma resposta.
Achou esse artigo interessante? Siga canalfsociety em Instagram, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário