未修补的高严重性漏洞影响Apple macOS计算机

网络安全研究人员周二披露了macOS Finder中一个未修补的零日漏洞的细节，远程对手可能会滥用该漏洞，诱骗用户在机器上运行任意命令

“macOS Finder中的一个漏洞允许扩展名为inetloc的文件执行任意命令，这些文件可以嵌入电子邮件中，如果用户点击这些文件，它们将执行嵌入其中的命令，而不会向用户提供提示或警告，”SSD Secure Disclosure在今天发布的一篇文章中说

Park Minchan是一名独立的安全研究员，他报告了影响Big Sur和更早版本macOS的漏洞

这个弱点是由于macOS处理INETLOC文件的方式—；打开internet位置的快捷方式，如RSS源、Telnet连接或其他在线资源和本地文件—；这导致了一个场景，允许嵌入在这些文件中的命令在没有任何警告的情况下执行

“这里的INETLOC指的是一种‘文件：//’协议，允许在本地（用户的计算机上）运行存储的文件，”SSD说。“如果INETLOC文件已附加到电子邮件，单击附件将触发该漏洞，而不会发出警告。”

尽管较新版本的macOS阻止了“file://”前缀，但只要将协议更改为“file://”或“file://”即可有效绕过检查，从而利用该漏洞。我们已经联系了苹果，如果我们得到回复，我们将更新报道

“macOS的新版本（来自大苏尔）已经屏蔽了'file://'前缀（位于com.apple.generic互联网位置），但是他们进行了案例匹配，导致'file://'或'file://'绕过了检查，”该公告称。“我们已经通知苹果，‘FiLe://’（只是破坏了值）似乎没有被阻止，但自报告发布以来，尚未收到他们的任何回应。据我们所知，目前该漏洞尚未修补。”