Kodekzekuta eraro en macOS Big Sur kaj pli frue, permesas al vi malproksime plenumi ordonojn

Koda ekzekuta cimo en la macOS de Apple permesas al foraj atakantoj plenumi arbitrajn komandojn sur komputiloj de Apple. Sed plej malbone, Apple ankoraŭ ne komplete riparis ĝin. Ĉio baziĝas sur specifaj cimoj, kiuj negative influas uzantojn de macOS, precipe tiujn, kiuj uzas denaska retpoŝta kliento kiel ekzemple la aplikaĵo "Poŝto".

Iuj mallongigaj dosieroj povas transpreni komputilojn Mac. La sendependa esploristo pri sekureco Park minchan malkovris vundeblecon en macOS, kiu permesas al tiuj, kiuj funkciigas ilin, komenci komandojn en la Mac. Mallongaj dosieroj kun la etendo "inetloc" ili kapablas enigi komandojn interne. Ĉi tiu cimo influas macOS Big Sur kaj antaŭajn versiojn.

Vundebleco en la maniero kiel macOS prilaboras inetloc-dosierojn kaŭzas ĝin ruli komandojn enigitajn en ĝi. La ordonoj, kiujn vi lanĉas, povas esti lokaj al macOS, permesante arbitrajn ordonojn ekzekuti de la uzanto sen avertoj aŭ petoj. Origine inetloc-dosieroj estas ŝparvojoj al interreta loko, kiel RSS-fluo aŭ telnet-loko. Ili enhavas la servilan adreson kaj eble uzantnomon kaj pasvorton por SSH kaj telnet-konektoj. Ili povas esti kreitaj tajpante URL en tekstredaktilo kaj trenante la tekston al la labortablo.

Ĉi tiu specifa cimo negative influas uzantojn de macOS, precipe tiuj, kiuj uzas retpoŝtan klienton denaska kiel la poŝta aplikaĵo. Malfermi retpoŝton enhavantan inetloc-aldonon per la poŝta aplikaĵo aktivigos la vundeblecon sen averto.

Apple parte riparis la problemon, sed la esploristo montris, ke ĝi ne definitive korektis ĝin. Tiel ke novaj ĝisdatigoj necesas por ke tio estu tute ekstermita.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita.

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

bool (vera)