Памылка выканання кода ў macOS Big Sur і больш ранніх версіях дазваляе выдалена выконваць каманды

Памылка выканання кода ў macOS Apple дазваляе аддаленым зламыснікам выконваць адвольныя каманды на кампутарах Apple. Але што самае страшнае, Apple яшчэ не цалкам гэта выправіла. Усё заснавана на пэўных памылках, якія негатыўна ўплываюць на карыстальнікаў macOS, асабліва на карыстальнікаў родны паштовы кліент, напрыклад, прыкладанне "Пошта".

Некаторыя файлы хуткага доступу могуць заняць кампутары Mac. Незалежны даследчык бяспекі Паркавы мінчан выявіў уразлівасць у macOS, якая дазваляе тым, хто іх запускае, запускаць каманды на Mac. Файлы хуткага доступу, якія маюць пашырэнне "inetloc" яны здольныя ўбудоўваць каманды ўнутр. Гэтая памылка ўплывае на macOS Big Sur і больш раннія версіі.

Уразлівасць у тым, як macOS апрацоўвае файлы inetloc, выклікае гэта запусціць каманды, убудаваныя ў яго. Каманды, якія вы запускаеце, могуць быць лакальнымі для macOS, што дазваляе карыстальніку выконваць адвольныя каманды без папярэджанняў і падказак. Першапачаткова файлы inetloc - гэта цэтлікі для доступу да Інтэрнэту, напрыклад, да RSS -канала або да тэлнета. Яны ўтрымліваюць адрас сервера і, магчыма, імя карыстальніка і пароль для злучэнняў SSH і telnet. Іх можна стварыць, увёўшы URL у тэкставым рэдактары і перацягнуўшы тэкст на працоўны стол.

Гэтая памылка негатыўна ўплывае на карыстальнікаў macOS, асабліва тыя, хто карыстаецца паштовым кліентам Ураджэнец, напрыклад, праграма Mail. Адкрыццё электроннай пошты, якая змяшчае ўкладанне inetloc праз праграму Mail, актывуе ўразлівасць без папярэджання.

Apple часткова выправіла праблему, але даследчык паказаў, што канчаткова яе не выправіў. Так што патрэбныя новыя абнаўлення каб гэта было цалкам выкаранена.


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

Будзьце першым, каб каментаваць

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны.

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.

bool (праўда)