Apple heeft onlangs een kritieke kwetsbaarheid in macOS gepatcht waarmee hackers willekeurige code via e-mailbijlagen kunnen uitvoeren. Helaas is deze patch slordig en extreem gemakkelijk te omzeilen. Mac-bezitters moeten vermijden e-mailbijlagen te openen met de inetloc-extensie totdat Apple een goede oplossing heeft uitgebracht.
Internet-snelkoppelingsbestanden, inetloc-bestanden genoemd op macOS, zijn bedoeld om gebruikers om te leiden naar webpagina's. U kunt een inetloc-bestand maken door bijvoorbeeld een URL naar uw bureaublad te slepen. Maar vanwege een bug in macOS kunnen hackers bruikbare code insluiten in inetloc-bestanden. Deze code wordt zonder waarschuwing uitgevoerd wanneer een getroffen bestand wordt geopend, wat een gemakkelijke manier biedt om macOS-gebruikers via e-mail aan te vallen.
Het programmeren van de exploit vereist weinig computerervaring. Kijk, inetloc-bestanden bevatten URL's, die meestal beginnen met http://of https://. Maar door een onoplettendheid van Apple kunnen inetloc-bestanden verwijzen naar file://-locaties binnen uw computersysteem. Een kleine regel code in een inetloc-bestand kan een hacker software of schadelijke payloads op uw systeem laten uitvoeren.
GERELATEERDApple stelt nieuwe veiligheidsvoorzieningen voor kinderen uit na scanschandaal
Onderzoeker Park Minchan ontdekte de exploit begin deze week. Apple bracht snel een patch uit nadat de kwetsbaarheid was gemeld door SSD Secure Disclosure, hoewel verschillende technische verkooppunten en beveiligingsexperts vinden dat deze patch niet genoeg is.
Zoals gemeld door Ars Technica, is de noodpatch uitgegeven door Apple voorkomt dat macOS inetloc-bestanden uitvoert die beginnen met een voorvoegsel file://. Maar de patch is hoofdlettergevoelig. Het vervangen van een deel van file://door een hoofdletter omzeilt de oplossing volledig.
Dit is amateuristisch werk van Apple. Het is het soort oplossing dat je zou verwachten van een stagiair bij een klein bedrijf. En eerlijk gezegd is het een zorgwekkend teken dat Apple beveiliging niet zo serieus neemt als wordt beweerd. Ik denk dat dat de reden is waarom we niet hebben gezien dat 'wat er op je iPhone gebeurt, op je iPhone blijft'. billboard over een tijdje.
Bron: Ars Technica, Apple Insider