首页 > 业界 > 关键词  > 漏洞最新资讯  > 正文

Finder曝出可执行任意命令的零日漏洞 macOS尚未得到全面修复

2021-09-22 13:20 · 稿源: cnbeta

独立安全研究人员 Park Minchan 刚刚发现了 macOS“访达”(Finder)文件资源管理器中一个零日漏洞。若被利用,运行新版 Big Sur 之前的所有 macOS 设备,都将面临可被攻击者在 Mac 上运行任意命令的威胁。即使安全研究人员尚未向外界披露完整的概念验证代码,但目前不能排除其有被积极利用的可能。

(via Bleeping Computer)

Park Minchan 指出,问题源于 macOS 对 inetloc 文件的处理方式,导致其会在没有任何警告或提示的情况下运行攻击者嵌入的任何命令。

在 macOS 系统上,带有 .inetloc 扩展名的 Internet 位置文件,可以作为一个全局书签来打开 news://、ftp://、afp:// 等在线资源或本地文件(file://)。

由 SSD Disclosure 今日披露的公告可知,macOS Finder 中的一个漏洞,允许扩展名为 inetloc 的文件执行任意命令.

这些文件可被嵌入电子邮件中,若用户不慎点击,就会让系统执行嵌入其中的命令、而不会发出任何提示或警告。

(图自:SSD-Disclosure)

尽管苹果在没有分配 CVE 编号的情况下悄悄修复了该问题,但正如 Park Minchan 后续指出的那样 —— 该公司的补丁仅部分解决了该缺陷。

因为在将用于执行嵌入命令的协议从 file:// 改成 FiLe:// 之后,同样的套路依然可以生效。SSD-Disclosure 指出:

较新版本的 macOS(Big Sur 分支)会在 com.apple.generic-internet-location 中阻止 file:// 前缀,但攻击者仍可通过大小写匹配漏洞来绕过安全检查。

我们已经向苹果通报了这一疏漏,但自报告发布以来,尚未收到该公司的任何回应。且截止目前,其仍未通过补丁来修复。

尽管安全研究人员没有披露该漏洞的攻击利用细节,但威胁参与者显然会大肆利用这点来创建恶意电子邮件。当用户不慎点开时,相关附件就能够启动捆绑或远程的有效恶意负载。

  • 相关推荐
  • 大家在看
  • SSD出货同比减少15%:厂商正持续降价

    TrendForce集邦咨询公布了2020年SSD十大模组厂商的座次表。模组厂商自身并不生产闪存颗粒,所以并未见到三星、美光(英睿达)、西数等名字。实际上,自产颗粒的几大原厂自己经营的SSD产品,市场出货占比大概35%,剩余65%都是被模组厂包揽。总的来看,2020年全渠道SSD出货较2019年衰退15%,为1.115块。前三大品牌依然是金士顿、威刚和金泰克。4~10名分别是朗科、雷克沙、台电、影驰、七彩虹、联想和创见。这十大厂商的总出货,占到?

  • 希捷发布新款Game Drive for Xbox SSD 带来新的外观和内部结构

    自2016年底以来,希捷一直在持续供应Xbox认证的外部固态硬盘系列。目前的Game Drive for Xbox SSD是基于希捷FastSSD的内部结构和工业设计。随着USB 3.2 Gen 1 (BarraCuda)快速固态硬盘的停用(该细分市场已经转向USB 3.2 Gen2),现在是时候让希捷改造Xbox固态硬盘的内部结构并赋予其新的外观。希捷正在推出新的Xbox游戏机SSD,它从目前的HDD系列产品中获得灵感,采用光滑的全黑外观并加入绿色LED灯条。这款96mm x 50mm x 11mm的总

  • 西部数据更新WD Blue系列 推出SN570无DRAM的NVMe SSD

    西部数据今天发布了WD Blue系列的最新产品--SN570 NVMe SSD。这是一款无DRAM的PCIe 3.0x4硬盘,与目前该系列的主要产品SN550相比,它带来了性能上的改进。为了更好地吸引内容创作者市场,西部数据还捆绑了一个月的AdobeCreative Cloud免费会员。与SN550类似,SN570也有三种容量 - 250GB、500GB和1TB。所有硬盘都是单面的,有5年的保修期,执行0.3 DWPD耐用等级。与SN550相比,关键的性能改进是连续读取速度从2400MB/s提高到3500MMB

  • Satechi发布的多功能适配器将USB扩展坞与M.2 SSD存储相结合

    最新推出的一款面向MacBook Pro和USB-CiPad外围设备是来自Satechi的混合多端口适配器,它汇集了一个强大的USB扩展坞以及固态硬盘的空间。该扩展坞为Mac增加了四个端口--HDMI、两个USB和USB-C。两个USB端口都是USB-A3.0端口,而HDMI端口支持60Hz的4K输出。USB-C PD电源可以为Mac或iPad的USB-C连接装置提供最大100W的电力。但这并不是去哪不,滑开USB-C集线器的顶部,还可以发现一个M.2固态硬盘插槽,可以在那里添加SSD存储装置。通?

  • 朗科NV2000 M.2 SSD评测:高性能表现,为平台提速!

    现在装机,固态硬盘必可不少,早已取代传统机械硬盘成为首选。而随着电脑硬件的更新换代与技术革新,NVMe M.2 SSD慢慢取代SATA SSD成为市场的主流。近日,朗科推出旗下中高端定位的NVMe M.2 SSD--NV2000 系列新品,采用PCIe Gen3.0x4 和NVMe1. 4 协议,我们拿到512GB版本,接下来一起看看它的性能表现吧?在性能测试之前,先带大家了解朗科NV2000 NVMe M.2 SSD是一款怎样的产品?朗科NV2000 NVMe M.2 SSD开箱:▲朗科NV2000 NVMe M

  • 微软XSX主机扩展SSD硬盘升级:最大2TB、售价2500元以上

    在新一代Xbox Series X/S(以下简称XSX/XSS)主机上,除了标配的1TB SSD硬盘之外,微软还联合希捷定制了游戏扩展专用SSD硬盘,之前只有1TB容量的。现在微软、希捷又推出了512GB及2TB的选择,售价139、399美元,分别折合889、2552元。XSX的内置1TB硬盘显然是不够用的,外置硬盘除了USB 3.2接口的之外,微软还专门找希捷定制了一种扩展SSD,大小跟常见的U盘差不多,甚至可以说更小一些,只有指甲盖般大小,容量也能达到1TB。至于性能

  • 手机行业最强!黑鲨4S Pro搭载定制NVME SSD:速度提升55%以上

    10月13日下午15:00,黑鲨召开了线上新品发布会,推出了下半年的升级旗舰黑鲨4S系列。此次黑鲨4S系列与前代保持同步,推出了黑鲨4S和黑鲨4S Pro两款机型,配置方面稍有不同。其中,黑鲨4S Pro依然是主打的顶级旗舰机型,该机相较此前的配置再度提升,芯片升级为骁龙888 Plus,并且配备了业内顶级的LPDDR5 内存(6400Mbps)+增强版UFS3.1闪存,这是目前行业内最强的存储方案。值得注意的是,黑鲨4S Pro此次还同样配备了SSD存储器磁盘

  • 美光发布企业级7400 PCIe 4.0 SSD:7种形态、唯一断电保护M.2

    美光今天宣布,面向数据中心市场推出企业级的全新PCIe 4.0 SSD 7400系列,提供多达7种不同的外形规格,和不同的容量、性能。美光7400 SSD可选业界唯一具备断电保护功能的M.2规格(又分为80mm、110mm两种长度),2.5英寸U.3规格(又分为带散热片的15mm、不带散热片的7mm两种厚度)。以及三种不同的新型E1.S EDSFF(企业与数据中心存储形态),可实现更大的容量、更高的性能、改进的功耗与散热,厚度分别为5.9mm、15mm、25mm,后两种带散热

  • 十铨公布T-Force CARDEA A440 Pro特别版PCIe 4.0 SSD售价

    十铨(TeamGroup)刚刚公布了专为索尼 PlayStation 5 游戏主机打造的 PCIe 4.0 存储扩展 M.2 SSD 的新品售价。此前发布的 A440 PRO Special Series 定价已揭晓,1TB / 2TB / 4TB / 8TB 版本分别为 189 / 359 / 899 / 1999 美元,约合 1216 / 2310 / 5784 / 12862 RMB 。十铨表示,在索尼 PS5 发布后不久,该公司很快就提供了 T-FORCE CARDE A440 Pro Special Series 扩容产品线。其采用了最新的 PCIe 4.0 x4 接口,以及较内置 PS5

  • 黑鲨4S系列发布:定制NVME SSD加持 2699元起

    今天下午,黑鲨科技举行新品发布会,正式发布黑鲨4S、黑鲨4S Pro两款游戏手机。售价方面,黑鲨4S 8GB+128GB版售价2699元,12GB+128GB版售价2999元,12GB+256GB版售价3299元。黑鲨4S Pro 12GB+256GB版售价4799元,16GB+512GB版售价5499元。今天下午5点开启预约,10月15日上市发售。官方介绍,黑鲨4S系列全系搭载金属中框,速度感拉满,使用了纳米光刻纹理工艺,为科技赋予光影质感。其中黑鲨4S有玄黑、雾白配色,黑鲨4S Pro有星河黑

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天