В macOS нашли 0-day уязвимость, позволяющую запустить вредоносные команды

В macOS нашли 0-day уязвимость, позволяющую запустить вредоносные команды

В macOS нашли 0-day уязвимость, позволяющую запустить вредоносные команды

На этой неделе исследователи в области кибербезопасности раскрыли детали непропатченной уязвимости нулевого дня (0-day) в файловом менеджере Finder, который используется в операционной системе macOS. Удалённый злоумышленник может использовать эту брешь для запуска команд на компьютере жертвы.

Уязвимость обнаружил независимый эксперт Парк Минчан. По его словам, проблема актуальна для macOS Big Sur и более ранних версий операционной системы. В посте SSD Secure Disclosure дыра описывается следующим образом:

«Баг в Finder позволяет файлам с расширением "inetloc" выполнять произвольные команды. Эти файлы можно отправить по электронной почте и обманом заставить пользователя запустить их. При клике встроенные команды запустятся в ОС без предупреждения или какого-либо другого взаимодействия с жертвой».

Пример эксплуатации уязвимости исследователи представили в GIF-файле:

 

Проблема, как вы уже поняли, заключается в способе обработки файлов INETLOC системой macOS. Эти файлы выступают в качестве ярлыков, которые используются для открытия RSS-лент, соединений Telnet и других онлайн-ресурсов.

INETLOC-файлы используют протокол file://, позволяющий запускать другие файлы, хранящиеся локально. Таким образом, если прикрепить вредоносный файл INETLOC к письму, при нажатии на него в системе может запуститься вредоносная программа. Эксплойт выглядит весьма просто:

 

От Apple пока не было комментариев относительно этой уязвимости.

Геолокацию россиян предложили передавать полиции в случае опасности

Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.

Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».

Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.

Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».

После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.

Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.

По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.

RSS: Новости на портале Anti-Malware.ru