Lỗ hổng zero-day mới ảnh hưởng đến tất cả phiên bản macOS

Hôm thứ Ba vừa qua, các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng zero-day mới trong Finder của Apple, cho phép kẻ tấn công thực thi lệnh tùy ý trên máy Mac, ảnh hưởng đến tất cả phiên bản của macOS.

Lỗ hổng do nhà nghiên cứu bảo mật Park Minchan phát hiện. Nguyên nhân vấn đề do cách macOS xử lý tệp inetloc khiến nó thực hiện bất kỳ lệnh nào được nhúng trong file mà không đưa ra cảnh báo hoặc lời nhắc nào. Các tệp này có thể được nhúng trong email để gửi tới các mục tiêu.

Trên macOS, các tệp Internet location có phần mở rộng .inetloc được sử dụng để mở các tài nguyên trực tuyến (news: //, ftp: //, afp: //) hoặc tệp cục bộ (file: //).

Apple chưa có bản vá đầy đủ cho lỗ hổng

Apple đã âm thầm khắc phục sự cố mà không chỉ định số CVE của lỗ hổng. Minchan sau đó đã phát hiện ra, bản vá của Apple chỉ giải quyết một phần lỗ hổng vì nó vẫn có thể bị bypass”.

Các phiên bản macOS mới hơn (từ Big Sur) đã chặn tiền tố file:// (trong com.apple.generic-internet-location). Tuy nhiên, một số trường hợp như File: // hoặc fIle:// bị bỏ qua kiểm tra và có thể được sử dụng để khai thác tấn công.

Các nhà nghiên cứu đã thông báo thiếu sót trên cho Apple nhưng họ chưa nhận được bất kỳ phản hồi nào từ Apple về điều này. Theo họ, hiện tại lỗ hổng vẫn chưa được vá hoàn toàn.

BleepingComputer cũng đã kiểm tra mã khai thác (PoC) được chia sẻ bởi nhà nghiên cứu và xác nhận rằng lỗ hổng này có thể được sử dụng để chạy các lệnh tùy ý trên macOS Big Sur.

Một tệp .inetloc chứa PoC không bị phát hiện bởi bất kỳ công cụ chống phần mềm độc hại nào trên VirusTotal, do đó người dùng macOS sẽ không được bảo vệ bởi các phần mềm bảo mật khỏi cuộc tấn công lạm dụng lỗ hổng này.

Người phát ngôn của Apple không đưa ra bình luận nào khi được BleepingComputer liên hệ.

Nguồn: bleepingcomputer.com