Памылка выканання кода ў macOS Apple дазваляе аддаленым зламыснікам выконваць адвольныя каманды на кампутарах Apple. Але што самае страшнае, Apple яшчэ не цалкам гэта выправіла. Усё заснавана на пэўных памылках, якія негатыўна ўплываюць на карыстальнікаў macOS, асабліва на карыстальнікаў родны паштовы кліент, напрыклад, прыкладанне "Пошта".
Некаторыя файлы хуткага доступу могуць заняць кампутары Mac. Незалежны даследчык бяспекі Паркавы мінчан выявіў уразлівасць у macOS, якая дазваляе тым, хто іх запускае, запускаць каманды на Mac. Файлы хуткага доступу, якія маюць пашырэнне "inetloc" яны здольныя ўбудоўваць каманды ўнутр. Гэтая памылка ўплывае на macOS Big Sur і больш раннія версіі.
Уразлівасць у тым, як macOS апрацоўвае файлы inetloc, выклікае гэта запусціць каманды, убудаваныя ў яго. Каманды, якія вы запускаеце, могуць быць лакальнымі для macOS, што дазваляе карыстальніку выконваць адвольныя каманды без папярэджанняў і падказак. Першапачаткова файлы inetloc - гэта цэтлікі для доступу да Інтэрнэту, напрыклад, да RSS -канала або да тэлнета. Яны ўтрымліваюць адрас сервера і, магчыма, імя карыстальніка і пароль для злучэнняў SSH і telnet. Іх можна стварыць, увёўшы URL у тэкставым рэдактары і перацягнуўшы тэкст на працоўны стол.
Гэтая памылка негатыўна ўплывае на карыстальнікаў macOS, асабліва тыя, хто карыстаецца паштовым кліентам Ураджэнец, напрыклад, праграма Mail. Адкрыццё электроннай пошты, якая змяшчае ўкладанне inetloc праз праграму Mail, актывуе ўразлівасць без папярэджання.
Apple часткова выправіла праблему, але даследчык паказаў, што канчаткова яе не выправіў. Так што патрэбныя новыя абнаўлення каб гэта было цалкам выкаранена.
Будзьце першым, каб каментаваць