すべてのmacOSバージョンでのFinderの脆弱性により、コードを実行できます
セキュリティ研究者は、macOSで新たに発見された脆弱性に気づきます。この問題は、最新のBigSurリリースまでのすべてのmacOSバージョンに影響します。
問題の脆弱性は、AppleOSのFinderコンポーネントに関連しています。 Finderは、ファイル、アプリの起動、ドライブの管理を処理するMacのシステムGUIコンポーネントであり、WindowsシステムでのExplorerの動作と少し似ています。
この脆弱性は、FinderがApple固有の.inetlocファイルを処理する方法に影響を与えます。これらは、Windowsマシンで使用されるWebショートカットファイルに似ており、通常、RSSフィードなどのサイトやサービスにリンクするために使用されます。 .inetlocファイルのもう1つの機能は、http://コンポーネントをfile://と交換することにより、システムドライブに保存されているローカルドキュメントにリンクする機能です。
セキュリティ研究者は、悪意のある攻撃者が、マルスパムメールの添付ファイルとして使用されるドクターファイルを作成する可能性があることを発見しました。被害者は、そのようなファイルを開くことを確信すると、悪意のある.inetlocファイルに埋め込まれたコマンドによって有効にされ、システム上で静かなコード実行を許可します。
SSD Secure Disclosureサービスを通じて問題が最初に発見され、報告された後、Appleは脆弱性のCVEエントリを提出しないことを選択したにもかかわらず、すぐに修正プログラムを発行しました。問題は、セキュリティ研究者によると、修正が実装された方法のために、パッチは問題を処理しなかったということです。
このパッチは、大文字と小文字を区別する照合を使用して脆弱性を処理しました。つまり、文字列「file://」は機能しなくなりますが、「file」という単語の文字を大文字にすると、悪意のある使用が可能になります。
この脆弱性がすでに実際に悪用されているかどうかについての確かな情報はありません。セキュリティニュースのThreatPostは、この問題についてAppleに連絡しても返信がなかったと述べています。これは、この記事の執筆時点ではまだパッチが適用されておらず、現在使用されているmacOSのほぼすべてのバージョンに影響を及ぼしています。