Une erreur d'exécution de code dans macOS Big Sur et versions antérieures, vous permet d'exécuter des commandes à distance

Un bogue d'exécution de code dans macOS d'Apple permet à des attaquants distants d'exécuter des commandes arbitraires sur des ordinateurs Apple. Mais pire encore, Apple ne l'a pas encore complètement corrigé. Tout est basé sur des bogues spécifiques qui affectent négativement les utilisateurs de macOS, en particulier ceux qui utilisent un client de messagerie natif tel que l'application "Mail".

Certains fichiers de raccourcis peuvent envahir les ordinateurs Mac.Le chercheur indépendant en sécurité Parc Minchan découvert une vulnérabilité dans macOS qui permet à ceux qui les exécutent d'initier des commandes sur le Mac. extension "inetloc" ils sont capables d'intégrer des commandes à l'intérieur. Ce bogue affecte macOS Big Sur et les versions antérieures.

Une vulnérabilité dans la façon dont macOS traite les fichiers inetloc l'amène à exécuter les commandes intégrées à l'intérieur. Les commandes que vous exécutez peuvent être locales à macOS, ce qui permet à l'utilisateur d'exécuter des commandes arbitraires sans avertissement ni invite. À l'origine, les fichiers inetloc sont des raccourcis vers un emplacement Internet, tel qu'un flux RSS ou un emplacement telnet. Ils contiennent l'adresse du serveur et éventuellement un nom d'utilisateur et un mot de passe pour les connexions SSH et telnet. Ils peuvent être créés en tapant une URL dans un éditeur de texte et en faisant glisser le texte sur le bureau.

Ce bug spécifique affecte négativement les utilisateurs de macOS, surtout ceux qui utilisent un client de messagerie natif tel que l'application Mail. L'ouverture d'un e-mail contenant une pièce jointe inetloc via l'application Mail activera la vulnérabilité sans avertissement.

Apple a partiellement résolu le problème, mais le chercheur a montré qu'il ne l'avait pas résolu définitivement. Pour ce que de nouvelles mises à jour sont nécessaires pour que cela soit complètement éradiqué.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.