Het gaat om een kwetsbaarheid in macOS Finder die in alle versies, inclusief Big Sur, opduikt en komt er op neer dat je mac inetloc-bestanden verwerkt op een manier dat commando's in dat bestand worden uitgevoerd zonder dat je daar als gebruiker voor wordt gewaarschuwd, zoals het geval is wanneer je legitiem software installeert.

He Inetloc-bestanden zijn bladwijzers naar online of lokale bestemmingen. Het probleem werd ontdekt door securityonderzoeker Park Minchang, die Apple inlichtte over het probleem.

Wel gepatcht, niet opgelost

Apple patchte haar besturingssysteem, maar zonder details te geven over het probleem. Zo is er ook geen CVE-nummer (een nummer dat aan elke gekende kwetsbaarheid wordt toegewezen). Maar volgens Minchang heeft Apple haar werk maar halfslachtig gedaan en valt het probleem nog steeds te misbruiken.

In een technische uitleg op bug bounty platform SSD-Disclosure stelt hij dat Apple voortaan 'file://' blokkeert om te voorkomen dat er commando's worden uitgevoerd in en inetloc-bestand. Maar Minchang merkt op dat die controle hoofdlettergevoelig is. Een hacker die dus 'FiLe://' in plaats van 'File://' gebruikt, omzeilt de patch van Apple.

Het omzeilen werd ook getest door BleepingComputer dat het probleem kon reproduceren. De site merkt daarbij op dat de tools van VirusTotal, dat verschillende antivirus-engines combineert) de aanvalsmethode niet detecteerde.

Het gaat om een kwetsbaarheid in macOS Finder die in alle versies, inclusief Big Sur, opduikt en komt er op neer dat je mac inetloc-bestanden verwerkt op een manier dat commando's in dat bestand worden uitgevoerd zonder dat je daar als gebruiker voor wordt gewaarschuwd, zoals het geval is wanneer je legitiem software installeert.He Inetloc-bestanden zijn bladwijzers naar online of lokale bestemmingen. Het probleem werd ontdekt door securityonderzoeker Park Minchang, die Apple inlichtte over het probleem.Apple patchte haar besturingssysteem, maar zonder details te geven over het probleem. Zo is er ook geen CVE-nummer (een nummer dat aan elke gekende kwetsbaarheid wordt toegewezen). Maar volgens Minchang heeft Apple haar werk maar halfslachtig gedaan en valt het probleem nog steeds te misbruiken.In een technische uitleg op bug bounty platform SSD-Disclosure stelt hij dat Apple voortaan 'file://' blokkeert om te voorkomen dat er commando's worden uitgevoerd in en inetloc-bestand. Maar Minchang merkt op dat die controle hoofdlettergevoelig is. Een hacker die dus 'FiLe://' in plaats van 'File://' gebruikt, omzeilt de patch van Apple.Het omzeilen werd ook getest door BleepingComputer dat het probleem kon reproduceren. De site merkt daarbij op dat de tools van VirusTotal, dat verschillende antivirus-engines combineert) de aanvalsmethode niet detecteerde.