日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Finder曝出可執(zhí)行任意命令的零日漏洞macOS尚未得到全面修復(fù)

獨(dú)立安全研究人員 Park Minchan 剛剛發(fā)現(xiàn)了 macOS“訪(fǎng)達(dá)”(Finder)文件資源管理器中一個(gè)零日漏洞。若被利用,運(yùn)行新版 Big Sur 之前的所有 macOS 設(shè)備,都將面臨可被攻擊者在 Mac 上運(yùn)行任意命令的威脅。即使安全研究人員尚未向外界披露完整的概念驗(yàn)證代碼,但目前無(wú)法排除其有被積極利用的可能。

(via Bleeping Computer)

Park Minchan 指出,問(wèn)題源于 macOS 對(duì) inetloc 文件的處理方式,導(dǎo)致其會(huì)在沒(méi)有任何警告或提示的情況下運(yùn)行攻擊者嵌入的任何命令。

在 macOS 系統(tǒng)上,帶有 .inetloc 擴(kuò)展名的 Internet 位置文件,可以作為一個(gè)全局書(shū)簽來(lái)打開(kāi) news://、ftp://、afp:// 等在線(xiàn)資源或本地文件(file://)。

  • 由 SSD Disclosure 今日披露的公告可知,macOS Finder 中的一個(gè)漏洞,允許擴(kuò)展名為 inetloc 的文件執(zhí)行任意命令.
  • 這些文件可被嵌入電子郵件中,若用戶(hù)不慎點(diǎn)擊,就會(huì)讓系統(tǒng)執(zhí)行嵌入其中的命令、而不會(huì)發(fā)出任何提示或警告。

(圖自:SSD-Disclosure)

盡管蘋(píng)果在沒(méi)有分配 CVE 編號(hào)的情況下悄悄修復(fù)了該問(wèn)題,但正如 Park Minchan 后續(xù)指出的那樣 —— 該公司的補(bǔ)丁僅部分解決了該缺陷。

因?yàn)樵趯⒂糜趫?zhí)行嵌入命令的協(xié)議從 file:// 改成 FiLe:// 之后,同樣的套路依然可以生效。SSD-Disclosure 指出:

  • 較新版本的 macOS(Big Sur 分支)會(huì)在
  • com.apple.generic-internet-location 中阻止 file:// 前綴,但攻擊者仍可通過(guò)大小寫(xiě)匹配漏洞來(lái)繞過(guò)安全檢查。
  • 我們已經(jīng)向蘋(píng)果通報(bào)了這一疏漏,但自報(bào)告發(fā)布以來(lái),尚未收到該公司的任何回應(yīng)。且截止目前,其仍未通過(guò)補(bǔ)丁來(lái)修復(fù)。

盡管安全研究人員沒(méi)有披露該漏洞的攻擊利用細(xì)節(jié),但威脅參與者顯然會(huì)大肆利用這點(diǎn)來(lái)創(chuàng)建惡意電子郵件。當(dāng)用戶(hù)不慎點(diǎn)開(kāi)時(shí),相關(guān)附件就能夠啟動(dòng)捆綁或遠(yuǎn)程的有效惡意負(fù)載。


當(dāng)前文章:Finder曝出可執(zhí)行任意命令的零日漏洞macOS尚未得到全面修復(fù)
當(dāng)前鏈接:http://www.5511xx.com/article/cojgpgh.html