Un error de ejecución de código en macOS Big Sur y anteriores, permite ejecutar comandos remotamente

Un error de ejecución de código en macOS de Apple permite a atacantes remotos ejecutar comandos arbitrarios en los ordenadores de Apple. Pero lo peor de todo es que Apple aún no lo ha solucionado por completo. Todo se basa en errores específicos que afectan negativamente a los usuarios de macOS, especialmente a aquellos que utilizan un cliente de correo electrónico nativo como la aplicación «Mail».

Determinados archivos de acceso directo pueden apoderarse de los ordenadores Mac. El investigador de seguridad independiente Park Minchan descubrió una vulnerabilidad en macOS que permite a aquellos que las ejecutan, iniciar comandos en el Mac. Los archivos de acceso directo que tienen la extensión «inetloc» son capaces de incrustar comandos en su interior. Este fallo afecta macOS Big Sur y versiones anteriores.

Una vulnerabilidad en la forma en que macOS procesa los archivos inetloc hace que ejecute comandos incrustados en su interior. Los comandos que ejecuta pueden ser locales para macOS, lo que permite la ejecución de comandos arbitrarios por parte del usuario sin ninguna advertencia o aviso. Originalmente, los archivos inetloc son accesos directos a una ubicación de Internet, como una fuente RSS o una ubicación de telnet. Contienen la dirección del servidor y posiblemente un nombre de usuario y contraseña para las conexiones SSH y telnet. Se pueden crear escribiendo una URL en un editor de texto y arrastrando el texto al escritorio.

Este error específico afecta negativamente a los usuarios de macOS, especialmente a aquellos que utilizan un cliente de correo electrónico nativo como la aplicación Mail. Abrir un correo electrónico que contiene un archivo adjunto inetloc a través de la aplicación Mail, activará la vulnerabilidad sin previo aviso.

Apple ha solucionado en parte el problema, pero el investigador ha demostrado que no lo ha corregido de manera definitiva. Por lo que se necesitan nuevas actualizaciones para que eso sea del todo erradicado.


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada.

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.