Ошибка в сочетаниях клавиш Mac может привести к захвату машины; исправление Apple безуспешно

Ошибка в сочетаниях клавиш Mac может позволить злоумышленнику захватить вашу машину при открытии электронной почты, используя лишь стандартный файл интернет-ярлыка.

Apple утверждает, что исправила ошибку в Big Sur и Monterey, но исследователь безопасности, обнаруживший проблему, говорит, что это лишь частично верно.

Arstechnica объясняет, как это работает.

Ошибка выполнения кода в macOS от Apple позволяет удаленным злоумышленникам запускать произвольные команды на вашем устройстве. И самое худшее — Apple еще не полностью исправила ее, как протестировали Ars.

Независимый исследователь безопасности Пак Мин Чан обнаружил уязвимость в macOS, которая позволяет злоумышленникам выполнять команды на вашем компьютере. Файлы ярлыков с расширением inetloc способны встраивать команды внутрь. Уязвимость затрагивает macOS Big Sur и предыдущие версии.

«Уязвимость в том, как macOS обрабатывает файлы inetloc, приводит к выполнению встроенных в них команд. Эти команды могут быть локальными для macOS, позволяя пользователю выполнять произвольные команды без каких-либо предупреждений / запросов», — объясняет Мин Чан. «Изначально файлы ###INTRANSLATABLE_1### — это ярлыки к интернет-адресу, такому как RSS-канал или telnet-адрес; они содержат адрес сервера и, возможно, имя пользователя и пароль для SSH и telnet-соединений; их можно создать, набрав URL в текстовом редакторе и перетащив текст на рабочий стол» […]

Интернет-ярлыки присутствуют как в системах Windows, так и macOS. Но эта конкретная ошибка негативно влияет на пользователей macOS, особенно на тех, кто использует стандартный почтовый клиент, такой как приложение «Почта».

Например, открытие электронного письма, содержащего вложение inetloc через приложение «Почта», вызовет уязвимость без предупреждения.

Мин Чан объясняет подробнее для тех, кто не знаком с этим типом интернет-ярлыков.

Изначально файлы inetloc — это ярлыки к интернет-адресу, такому как RSS-канал или telnet-адрес; они содержат адрес сервера и, возможно, имя пользователя и пароль для SSH и telnet-соединений; их можно создать, набрав URL в текстовом редакторе и перетащив текст на рабочий стол.

В данном случае inetloc относится к «протоколу» file://, который позволяет запускать локально (на компьютере пользователя) сохраненные файлы.

Мин Чан предупредил Apple об уязвимости, и компания выпустила исправление. Однако исправление оказалось чувствительным к регистру, поэтому оно успешно блокирует URL-адреса, начинающиеся с file:// , но не с учетом регистра (которые работают точно так же), например FiLe://.

Поставщик сообщил нам, что file:// незаметно исправила уязвимость в Big Sur и не присвоила ей CVE. Мы уведомили Apple, что FiLe:// (просто искажая значение) похоже, не заблокировано, но не получили ответа от них с момента подачи отчета. Насколько нам известно, на данный момент уязвимость не исправлена.

Ars проверила это на обновленной машине, используя демо-пример, который открывает приложение «Калькулятор».