獨立安全研究人員 Park Minchan 剛剛發現了 macOS”訪達”（Finder）檔資源管理器中一個零日漏洞。 若被利用，運行新版 Big Sur 之前的所有 macOS 設備，都將面臨可被攻擊者在 Mac 上運行任意命令的威脅。 即使安全研究人員尚未向外界披露完整的概念驗證代碼，但目前無法排除其有被積極利用的可能。

（via Bleeping Computer）

Park Minchan 指出，問題源於macOS對 inetloc 檔的處理方式，導致其會在沒有任何警告或提示的情況下運行攻擊者嵌入的任何命令。

在 macOS 系統上，帶有 .inetloc 擴展名的 Internet 位置檔，可以作為一個全域書籤來打開 news://、ftp://、afp:// 等在線資源或本地檔（file://）。

由 SSD Disclosure 今日披露的公告可知，macOS Finder 中的一個漏洞，允許擴展名為 inetloc 的文件執行任意命令.

這些檔可被嵌入電子郵件中，若使用者不慎點擊，就會讓系統執行嵌入其中的命令、而不會發出任何提示或警告。

（圖自：SSD-Disclosure）

儘管蘋果在沒有分配 CVE 編號的情況下悄悄修復了該問題，但正如 Park Minchan 後續指出的那樣 —— 該公司的補丁僅部分解決了該缺陷。

因為在將用於執行嵌入命令的協定從 file:// 改成 FiLe:// 之後，同樣的套路依然可以生效。 SSD-Disclosure 指出：

較新版本的 macOS（Big Sur 分支）會在 com.apple.generic-internet-location 中阻止 file:// 前綴，但攻擊者仍可通過大小寫匹配漏洞來繞過安全檢查。

我們已經向蘋果通報了這一疏漏，但自報告發佈以來，尚未收到該公司的任何回應。 且截止目前，其仍未通過補丁來修復。

儘管安全研究人員沒有披露該漏洞的攻擊利用細節，但威脅參與者顯然會大肆利用這點來創建惡意電子郵件。 當使用者不慎點開時，相關附件就能夠啟動捆綁或遠端的有效惡意負載。