macOS安全漏洞,点击电邮就被hack!苹果竟然也没完全修复漏洞?!
根据《9to5mac》报导,Mac系统出现了一个安全漏洞,用户只要透过电邮打开邮件,骇客就能够直接接管有关设备,虽然苹果声称已经修补Big Sur和Monterey中的漏洞,但研究员认为并没有完全修补,仍然存在一些漏洞。
根据安全人员Park Minchan表示,发现苹果macOS中一个程式码执行错误,允许骇客能够从远端在用户设备上执行任何命令,方法是通过inetloc作为附档名的网络捷径档案。
(图片来源:MacRumors)
能够在没警示下执行命令
inetloc是网络位置的捷径档,包含了伺服器位址,专门用来存档网络资源或本地端的档案,Minchan说,macOS处理inetloc的方式存在漏洞,让骇客能够透过电邮夹带恶意的inetloc档案,就能够触发有关漏洞,能够执行恶意命令,在用户没有任何警告或提示下执行任何命令。
有关漏洞也影响了macOS Big Sur和之前的版本,经过网媒《Ars Technica》测试后,发现苹果还没有完全修补好。
(图片来源:TheGuardian)
大小混写还是能运行
苹果修补漏洞的方式就是封锁file://开头的URL,但这个修补程式有分大小写,因此大小混写的URL,比如FiLe://或File://还是能够以完全相同的方式运行,目前为止还没有被修补。
Minchan说,这种网络捷径在Windows中亦存在,但这个特特定的漏洞对macOS用户产生不利的影响,尤其是系统内“邮件”那样的内建应用。
文章资料来源:Technews