macOSのファイルマネージャであるFinderに新たなゼロデイ脆弱(ぜいじゃく)性が見つかりました。悪意のある攻撃者がこの脆弱性を利用すると、たとえ最新バージョンのOSであってもリモートから任意のコードを実行できるようになるとのことです。

SSD Advisory - macOS Finder RCE - SSD Secure Disclosure

https://ssd-disclosure.com/ssd-advisory-macos-finder-rce/

New macOS zero-day bug lets attackers run commands remotely

https://www.bleepingcomputer.com/news/apple/new-macos-zero-day-bug-lets-attackers-run-commands-remotely/

脆弱性はmacOSがINETLOC(インターネットロケーション)ファイルを処理する方法に起因するもの。INETLOCファイルは「.inetloc」という拡張子で示されるファイル形式で、サーバーアドレスといった情報が含まれており、macOS上では「news://」「ftp://」「afp://」といったオンラインリソースや「file://」で示されるローカルリソースを開くために使用されます。

セキュリティ研究者のためのコミュニティ・SSD SecureDisclosureは脆弱性についての発表の中で「macOS Finderに含まれる脆弱性はINETLOCファイルに任意のコマンドを実行させることを許可します」「これらのファイルがメールに含まれていると、ユーザーがファイルをクリックしたときに、ファイルに埋め込まれたコマンドがユーザーに対する警告やダイアログなしに実行されます」と述べました。



Appleは脆弱性にIDを割り当てずに修正を行ったそうですが、脆弱性を発見したセキュリティ研究者であるPark Minchan氏は、パッチが部分的な対処しか行っていないことを指摘。パッチがあてがわれていても、コマンドをもって「file://」を「FiLe://」などに書きかえることが可能であり、いかなるバージョンのmacOSも「file://」をブロックできないことから、「File://」や「fIle://」といった悪意あるリソースがAppleのチェックをバイパスしてしまう可能性があります。この件についてMinchan氏はAppleに報告済みですが、特に応答はなく、修正も行われていないとのことです。

研究者は、発見された脆弱性を悪用する具体的な方法について示していませんが、「ターゲットが開くとリモートでのコントロールが可能になるファイル」を添付したメールによる攻撃などが可能だと考えられています。

またセキュリティ関連の情報を発信するBleeping Computerが、研究者の示す概念実証的な攻撃をテストしてみたところ、研究者の発表通り、何の警告やダイアログもなしで実際にmacOS Big Surで任意のコードを実行することが可能であることが確かめられています。