Исследователи по безопасности обнаружили новую уязвимость в macOS Finder от компании Apple, который позволяет злоумышленникам запускать команды на компьютерах Mac с любой версией macOS (вплоть до последней версии Big Sur). Патча для этой проблема пока нет.

Уязвимость обнаружил ИБ-эксперт Парк Минчан, и она связана с тем, как macOS обрабатывает файлы .inetloc (Internet location files). Файлы .inetloc представляют собой общесистемные закладки, которые можно использовать для открытия сетевых различных ресурсов (news://, ftp://, afp://) и локальных файлов (file://). В итоге эти файлы заставляют ОС запускать любые команды, встроенные злоумышленником, без каких-либо предупреждений или запросов.

«Такие файлы могут быть встроены в электронные письма и если пользователь кликает на них, они будут выполнять встроенные команды, без отображения подсказки или предупреждения», — предупреждает SSD Secure Disclosure.

Хотя Apple пыталась исправить проблему без присвоения уязвимости идентификатора CVE, ИБ-эксперт Парк Минчан заметил, что патч компании устранил проблему лишь частично и уязвимость все еще присутствует.

Источник: bleepingcomputer.com