周二,網絡安全研究人員披露了macOS Finder中一個未修補的0 day漏洞的細節,該漏洞可能被遠程對手濫用,誘使用戶在機器上運行任意命令。
“macOS Finder 中的一個漏洞允許擴展名為 inetloc 的文件執行任意命令,這些文件可以嵌入電子郵件中,如果用戶點擊它們將執行嵌入其中的命令,而不會向用戶提供提示或警告。”SSD安全信息披露。
這個缺陷是由于macOS處理 INETLOC 文件的方式——打開互聯網位置的快捷方式,如RSS提要、Telnet連接或其他在線資源和本地文件——導致一種場景即允許在這些文件中嵌入的命令在沒有任何警告的情況下執行。
“這里INETLOC指的是一個‘file://’協議,允許在本地(用戶的計算機上)運行存儲的文件,”SSD稱。“如果INETLOC文件是電子郵件的附件,點擊附件將觸發該漏洞而沒有警告。”
盡管新版macOS已經阻止了file://前綴,但只要將協議更改為file://或file://就可以利用該漏洞有效地繞過檢查。目前已將此問題告知蘋果公司。
“較新版本的macOS(來自Big Sur)已經屏蔽了file:// 前綴(在 com.apple.generic-internet-location 中),但是他們做了一個大小寫匹配,導致 File:// 或 file: //繞過檢查,”咨詢稱。
“已通知Apple,‘FiLe://’(只是修改了值)似乎沒有被阻止,但沒有收到他們的任何回應。目前,該漏洞尚未修補。”
0 day 漏洞修補窗口期為網絡犯罪分子提供了“便利”,尤其諸如蘋果、微軟等大型企業的用戶涉及各個行業,這也為網絡攻擊提供了廣泛攻擊面。據統計0day漏洞每年以100%速度增長,而且修復周期極長,極易受到網絡犯罪分子攻擊。但在日常普通安全測試中很難發現0day漏洞,因此需要提高軟件自身安全性以抵抗潛在的網絡攻擊。在軟件開發過程中加強安全建設,通過靜態代碼安全檢測等自動化檢測工具,從源頭保證代碼規范安全,及時發現運行時缺陷,在一定程度上減少因代碼問題產生的缺陷及安全漏洞并進行修正,從而為軟件運行提供一個安全環境,也為后續企業在維護網絡安全方面降低成本。
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/120828.html
