Vulnerabilidade do Finder em todas as versões do macOS permite a execução de código
Os pesquisadores de segurança falam sobre uma vulnerabilidade recém-descoberta no macOS. O problema afeta todas as versões do macOS, até e incluindo a versão mais recente do Big Sur.
A vulnerabilidade em questão está relacionada ao componente Finder do Apple OS. Finder é o componente GUI do sistema de Macs que lida com arquivos, inicialização de aplicativos e gerenciamento de unidades, um pouco semelhante a como o Explorer funciona em sistemas Windows.
A vulnerabilidade afeta a maneira como o Finder lida com arquivos .inetloc específicos da Apple. Esses são semelhantes aos arquivos de atalho da Web usados em máquinas Windows e geralmente são usados para vincular a sites e serviços, como feeds RSS. Outra funcionalidade dos arquivos .inetloc é a capacidade de vincular a documentos locais armazenados nas unidades do sistema, trocando o componente http: // por arquivo: //.
Pesquisadores de segurança descobriram que agentes mal-intencionados podem criar arquivos adulterados para serem usados como anexos em e-mails de spam. Ao ser convencida a abrir tal arquivo, a vítima permitiria a execução silenciosa de código em seu sistema, habilitada por comandos embutidos no arquivo malicioso .inetloc.
Depois que o problema foi originalmente descoberto e relatado por meio do serviço SSD Secure Disclosure, a Apple rapidamente lançou um hotfix, embora a empresa tenha optado por não registrar uma entrada CVE para a vulnerabilidade. Acontece que, segundo os pesquisadores de segurança, o patch não resolveu o problema, devido à forma como a correção foi implementada.
O patch tratou a vulnerabilidade usando correspondência com distinção entre maiúsculas e minúsculas, o que significa que, embora a string 'arquivo: //' não funcionasse mais, colocar qualquer uma das letras da palavra "arquivo" em maiúscula ainda permitiria o uso malicioso.
Não há informações concretas sobre se essa vulnerabilidade já foi explorada em liberdade. O canal de notícias de segurança ThreatPost também afirmou que não recebeu uma resposta da Apple ao contatá-los sobre o problema, que ainda não foi corrigido e afetou praticamente todas as versões do macOS atualmente em uso.