Apple korrigerade nyligen en kritisk macOS -sårbarhet som låter hackare köra godtycklig kod via e -postbilagor. Tyvärr är denna patch slarvig och extremt lätt att kringgå. Mac -ägare bör undvika att öppna e -postbilagor med inetloc -tillägget tills Apple ger en korrekt åtgärd.
Internetgenvägsfiler, kallade inetloc -filer på macOS, är avsedda att omdirigera användare till webbsidor. Du kan skapa en inetloc -fil genom att dra en URL till exempelvis ditt skrivbord. Men på grund av en bugg i macOS kan hackare bädda in användbar kod i inetloc -filer. Den här koden körs utan förvarning när en berörd fil öppnas, vilket ger ett enkelt sätt att attackera macOS -användare via e -post.
Att programmera utnyttjandet kräver liten datorupplevelse. Se, inetloc -filer innehåller webbadresser, som vanligtvis börjar med http: //eller https: //. Men en övervakning av Apple låter inetloc -filer peka på fil: //platser i ditt datorsystem. En liten kodrad i en inetloc -fil kan låta en hackare köra programvara eller skadliga nyttolaster på ditt system.
RELATERAT Apple försenar nya barnsäkerhetsfunktioner efter fotoskanningskandal
Forskare Park Minchan upptäckte utnyttjandet tidigt i veckan. Apple utfärdade snabbt en korrigeringsfil efter att sårbarheten rapporterats av SSD Secure Disclosure, även om flera tekniska butiker och säkerhetsexperter finner att den här korrigeringsfilen inte räcker.
Som rapporterats av Ars Technica utfärdade nödkorrigeringen av Apple hindrar macOS från att köra inetloc -filer som börjar med ett fil: //prefix. Men plåstret är skiftlägeskänsligt. Att byta ut någon del av filen: //med en stor bokstav går helt förbi fixen.
Detta är amatörmässigt arbete från Apple. Det är en sådan åtgärd du kan förvänta dig av en praktikant på ett litet företag. Och ärligt talat är det ett oroande tecken på att Apple inte tar säkerheten så allvarligt som det hävdar. Jag antar att det är därför vi inte har sett att det som händer på din iPhone stannar på din iPhone ” skylt om ett tag.
Källa: Ars Technica, Apple Insider