La vulnerabilità del Finder in tutte le versioni di macOS consente l'esecuzione del codice
I ricercatori di sicurezza intervengono con una vulnerabilità scoperta di recente in macOS. Il problema riguarda tutte le versioni di macOS, fino alla versione più recente di Big Sur inclusa.
La vulnerabilità in questione è relativa al componente Finder del sistema operativo Apple. Finder è il componente della GUI di sistema dei Mac che gestisce i file, l'avvio delle app e la gestione delle unità, in modo un po' simile a come funziona Explorer sui sistemi Windows.
La vulnerabilità interessa il modo in cui Finder gestisce i file .inetloc specifici di Apple. Sono simili ai file di collegamento Web utilizzati su macchine Windows e vengono solitamente utilizzati per collegarsi a siti e servizi, come i feed RSS. Un'altra funzionalità dei file .inetloc è la possibilità di collegarsi a documenti locali archiviati su unità di sistema, scambiando il componente http:// con file://.
I ricercatori di sicurezza hanno scoperto che gli attori malintenzionati potrebbero creare file falsificati da utilizzare come allegati nelle e-mail di spam. Dopo essere stata convinta ad aprire un file del genere, la vittima avrebbe consentito l'esecuzione di codice silenzioso sul proprio sistema, abilitata dai comandi incorporati nel file .inetloc dannoso.
Dopo che il problema è stato originariamente scoperto e segnalato tramite il servizio SSD Secure Disclosure, Apple ha rapidamente rilasciato un hotfix, anche se l'azienda ha scelto di non presentare una voce CVE per la vulnerabilità. Il fatto è che, secondo i ricercatori della sicurezza, la patch non ha risolto il problema, a causa del modo in cui è stata implementata la correzione.
La patch ha gestito la vulnerabilità utilizzando la corrispondenza con distinzione tra maiuscole e minuscole, il che significa che mentre la stringa 'file://' non funzionerebbe più, l'utilizzo di una qualsiasi delle lettere della parola "file" in maiuscolo consentirebbe comunque un uso dannoso.
Non ci sono informazioni concrete sul fatto che questa vulnerabilità sia già stata sfruttata in natura. Il sito di notizie sulla sicurezza ThreatPost ha anche affermato di non aver ricevuto una risposta da Apple quando li ha contattati in merito al problema, che al momento della stesura di questo documento è ancora privo di patch e interessa praticamente tutte le versioni di macOS attualmente in uso.
