最新バージョンを含む macOS のすべてのバージョンで新たに発見されたバグmacOS ビッグサーを使用すると、攻撃者は電子メールに埋め込まれたファイルを利用してリモートで任意のコードを実行できます。

この脆弱性は、独立研究者のパク・ミンチャン氏と報告されましたSSDの安全な開示、次のファイルを許可します。inetlocこの拡張機能を使用すると、最初に Mac のユーザーにプロンプ​​トを表示せずに任意のコマンドを実行できます。

攻撃者には以下が含まれます:inetloc電子メール メッセージ内のファイルを添付ファイルとして保存し、クリックすると埋め込みコードがローカルで実行されます。このエクスプロイトが実際に使用されたかどうかは不明ですが、悪意のある攻撃者がこのバグを利用して、悪意のあるペイロードを Mac ユーザーに配信する可能性があります。

によって指摘されたようにピーピーコンピュータによって発見されました。SSDの安全な開示火曜日のレポート、インターネットの場所ファイルinetloc拡張機能は、RSS フィードや Telnet の場所などのオンライン リソースに対するシステム全体のブックマークと考えることができます。また、ローカル ファイルと対話するために使用することもできます。file://

Apple はパッチを適用したと報告されていますfile://しかし、次のようなプレフィックスの他の反復をブロックできませんでしたFile://またはfIle://つまり、攻撃者は組み込みの安全装置を簡単に回避できるということです。ミンチャン氏によると、テクノロジー大手はこのバグに CVE 指定を割り当てることもできなかったという。

アップルは今日の早朝に解放された次世代の 7 番目のベータ版macOS モントレー今秋予定されている一般公開に先立って、開発者テスト用に提供されます。最新のビルドに、新しく発見されたビルドに対する永続的な修正が含まれているかどうかinetloc脆弱性は不明です。