Hacker haben Apples Notfall-Sicherheitsfix für macOS bereits umgangen

0
112
Apfel

Apple hat kürzlich eine kritische macOS-Sicherheitslücke gepatcht, die es Hackern ermöglicht, beliebigen Code über E-Mail-Anhänge auszuführen. Leider ist dieser Patch schlampig und extrem leicht zu umgehen. Mac-Besitzer sollten es vermeiden, E-Mail-Anhänge mit der inetloc-Erweiterung zu öffnen, bis Apple eine ordnungsgemäße Lösung herausgibt.

Internetverknüpfungsdateien, unter macOS inetloc-Dateien genannt, sollen Benutzer auf Webseiten umleiten. Sie können eine inetloc-Datei erstellen, indem Sie beispielsweise eine URL auf Ihren Desktop ziehen. Aber aufgrund eines Fehlers in macOS können Hacker verwendbaren Code in inetloc-Dateien einbetten. Dieser Code wird ohne Vorwarnung ausgeführt, wenn eine betroffene Datei geöffnet wird, und bietet eine einfache Möglichkeit, macOS-Benutzer per E-Mail anzugreifen.

Das Programmieren des Exploits erfordert nur wenig Computererfahrung. Siehe, inetloc-Dateien enthalten URLs, die normalerweise mit http://oder https://beginnen. Aber eine Aufsicht von Apple lässt inetloc-Dateien auf file://-Speicherorte innerhalb Ihres Computersystems verweisen. Eine kleine Codezeile in einer inetloc-Datei könnte einem Hacker ermöglichen, Software oder schädliche Nutzlasten auf Ihrem System auszuführen.

VERWANDTEApple verzögert neue Kindersicherheitsfunktionen nach dem Foto-Scan-Skandal

Der Forscher Park Minchan entdeckte den Exploit Anfang dieser Woche. Apple hat schnell einen Patch veröffentlicht, nachdem die Sicherheitslücke von SSD Secure Disclosure gemeldet wurde, obwohl mehrere Tech-Outlets und Sicherheitsexperten der Meinung sind, dass dieser Patch nicht ausreicht.

Wie von Ars Technica berichtet, wurde der Notfall-Patch veröffentlicht von Apple verhindert, dass macOS inetloc-Dateien ausführt, die mit einem file://-Präfix beginnen. Aber der Patch unterscheidet zwischen Groß- und Kleinschreibung. Das Ersetzen eines beliebigen Teils von file://durch einen Großbuchstaben umgeht die Korrektur vollständig.

Dies ist eine amateurhafte Arbeit von Apple. Es ist die Art von Lösung, die Sie von einem Praktikanten in einem kleinen Unternehmen erwarten würden. Und ehrlich gesagt ist es ein besorgniserregendes Zeichen dafür, dass Apple die Sicherheit nicht so ernst nimmt, wie es behauptet. Ich denke, deshalb haben wir nicht gesehen, dass “was auf Ihrem iPhone passiert, bleibt auf Ihrem iPhone” Billboard in einer Weile.

Quelle: Ars Technica, Apple Insider