Finder-kwetsbaarheid in alle macOS-versies maakt uitvoering van code mogelijk
Beveiligingsonderzoekers spelen in op een nieuw ontdekte kwetsbaarheid in macOS. Het probleem treft alle macOS-versies, tot en met de meest recente Big Sur-release.
De kwetsbaarheid in kwestie houdt verband met de Finder-component van het Apple OS. Finder is de systeem-GUI-component van Macs die bestanden, het starten van apps en het beheer van schijven afhandelt, een beetje vergelijkbaar met hoe Explorer werkt op Windows-systemen.
Het beveiligingslek heeft invloed op de manier waarop Finder Apple-specifieke .inetloc-bestanden verwerkt. Deze zijn vergelijkbaar met websnelkoppelingen die op Windows-machines worden gebruikt en worden meestal gebruikt om naar sites en services te linken, zoals RSS-feeds. Een andere functionaliteit van de .inetloc-bestanden is de mogelijkheid om te linken naar lokale documenten die zijn opgeslagen op systeemschijven, door de http://-component te verwisselen met file://.
Beveiligingsonderzoekers ontdekten dat kwaadwillende actoren gemanipuleerde bestanden konden maken die als bijlagen in malspam-e-mails konden worden gebruikt. Nadat het slachtoffer ervan overtuigd was om zo'n bestand te openen, zou hij stille code-uitvoering op zijn systeem toestaan, mogelijk gemaakt door opdrachten die zijn ingebed in het kwaadaardige .inetloc-bestand.
Nadat het probleem oorspronkelijk was ontdekt en gemeld via de SSD Secure Disclosure-service, bracht Apple snel een hotfix uit, hoewel het bedrijf ervoor koos geen CVE-vermelding voor de kwetsbaarheid in te dienen. Het punt is dat, volgens beveiligingsonderzoekers, de patch het probleem niet oploste, vanwege de manier waarop de fix werd geïmplementeerd.
De patch behandelde het beveiligingslek door gebruik te maken van hoofdlettergevoelige overeenkomsten, wat betekent dat hoewel de tekenreeks 'file://' niet langer zou werken, het gebruik van een hoofdletter van het woord 'bestand' nog steeds mogelijk zou zijn voor kwaadwillend gebruik.
Er is geen harde informatie over of dit beveiligingslek al in het wild is misbruikt. Beveiligingsnieuws ThreatPost verklaarde ook dat ze geen antwoord van Apple hebben ontvangen toen ze contact met hen opnemen over het probleem, dat op het moment van schrijven nog niet is gepatcht en van invloed is op vrijwel alle versies van macOS die momenteel in gebruik zijn.