
Apple’ın macOS Finder’da sıfır gün güvenlik açığı, araştırmacılara göre uzaktaki saldırganların kullanıcıları rastgele komutlar çalıştırmaları için kandırmasına izin verebilir.
MacOS Finder, tüm Macintosh işletim sistemlerinde kullanılan varsayılan dosya yöneticisi ve GUI ön yüzüdür. Kullanıcıların önyükleme sırasında gördükleri ilk şey budur ve diğer uygulamaların başlatılmasını ve dosyaların, disklerin ve ağ birimlerinin genel kullanıcı yönetimini yönetir. Başka bir deyişle, Mac’teki diğer her şey için derebeyi uygulamasıdır.
Bu hafta bir SSD Güvenli Açıklama önerisine göre, güvenlik açığı macOS Finder’ın .Inetloc dosyalarını işleme biçiminde bulunmaktadır. Inetloc dosyaları Apple’a özgüdür ve RSS beslemesi veya telnet konumu gibi internet konumlarına kısayol işlevi görür ; veya “file://” biçimini (http:// yerine) kullanarak bir tarayıcıda bir kişinin Mac’inde belgeleri yerel olarak açmak için kullanılabilirler. Araştırmacılar, sıfır günle ilgili olan ikinci işlev olduğunu söyledi.
Hata için bir istismar senaryosunda, .Inetloc dosyaları, gömülü komutları içerecek şekilde özel olarak hazırlanabilir. Araştırmacılar, oluşturulan dosyaların daha sonra kötü niyetli e-postalara eklenebileceğini (veya bunlara bağlanabileceğini) ekledi – ve kullanıcılar sosyal olarak üzerlerine tıklamak üzere tasarlandıysa, içine yerleştirilmiş bu komutlar kurbanlara herhangi bir uyarı veya istem verilmeden otomatik olarak gizli modda yürütülür.
“MacOS güvenlik açığı komutları gömülü olarak çalışmasını sağlar .Inetloc dosyalarını işler, herhangi bir uyarı / istemi olmadan arka planda çalışmaya devam eder.
Uyarıda yer alan bir SSD videosunda gösterildiği gibi, bu basit bir istismar senaryosudur.
Bağımsız güvenlik araştırmacısı Park Minchan, SSD’ye yönelik güvenlik açığını bildirdi ve hatanın macOS Big Sur sürümünü ve ondan önceki tüm sürümleri etkilediğini belirtti. Buna karşılık, Apple bir CVE yayınlamamayı seçti ve bunun yerine sorunu sessizce düzeltti. Ancak araştırmacılar, düzeltmenin başarısız olduğunu söyledi.
Danışman, “Satıcı, file:// [işlev]’in sessizce yamalandığını bize bildirdi” dedi. Ancak araştırmacılar, dosyanın yürütme rutininde FiLe:// gibi karışık bir değer kullanılarak hatanın hala istismar edilebileceğini ekledi.
“MacOS’un daha yeni sürümleri (Big Sur’dan) file:// önekini engelledi… ancak büyük/küçük harf eşleştirme yaparak File:// veya fIle://’nin kontrolü atlamasına neden oldular” diye açıkladılar.
Danışmanlığa göre, “Rapor yapıldığından bu yana onlardan herhangi bir yanıt almadık”. “Bildiğimiz kadarıyla, şu anda güvenlik açığı düzeltilmedi.”
Vahşi doğada istismar edilip edilmediğine dair bir haber yok ve Apple hemen bir yorum talebi göndermedi.
Bilgi işlem devi bu yıl sıfır gün payını aldı. Mayıs ayında, macOS finder’da sıfır gün açığı , birinin bilgisayarının ekran görüntülerini almak ve o kişinin haberi olmadan uygulamalardaki veya video konferanslardaki etkinliklerinin görüntülerini yakalamak için kullanılabilecek kritik bir hatayı düzeltti . Temmuz ayında, hem iOS hem de macOS platformlarında, saldırganların etkilenen bir sistemi ele geçirmesine izin verebilecek, aktif olarak yararlanılan bir sıfır gün kusurunu düzeltti . Ve bu ayın başlarında, NSO Group tarafından casus yazılım yüklemek için kullanılan “ForcedEntry” sıfır tıklamalı sıfır gün için acil bir düzeltme eki yayınladı.