macOS出现安全漏洞,苹果却只补一半

根据外媒《9to5mac》报道,Mac出现一个安全漏洞,当用户通过电子邮箱打开邮件时,黑客就能接管这个设备。苹果声称已经修补Big Sur和Monterey中的漏洞,但研究人员认为,苹果并没有修补完全,仍存在一些漏洞。

安全研究人员Park Minchan发现,苹果macOS中的一个程序代码执行错误,允许黑客远程在用户的设备上执行任何命令,方法是以inetloc作为附文件名的网络捷径文件。

inetloc是个网络位置的捷径档,并包含服务器地址,专门存放网络资源或是本地端的文件。Minchan解释,macOS处理inetloc文件的方式存在漏洞,只要黑客通过电子邮件附带恶意的inetloc文件,就能触发该漏洞,使文件中的恶意命令运行,并在用户没收到任何警告 / 提示的情况下执行任意命令。

这个漏洞还影响macOS Big Sur和之前的版本。更糟糕的是,技术信息网站Ars Technica测试过后发现苹果还没完全修补好它。

Minchan表示,网络捷径在Windows和macOS系统中都存在,但这个特定的漏洞对macOS用户产生不利影响,特别是使用像“邮件”(Mail)App这样的内置电子邮箱的用户。

目前,苹果已经修补这个漏洞,封锁file:// 开头的URL,但这个修补程序有分大小写,因此大小写混合的URL,例如FiLe://、File:// 或fIle:// 仍能够以完全相同的方式运行,而且到目前为止还没有被修补。

(首图来源:pixabay)

发表评论