MacOSFinderのゼロデイ脆弱性によりサイレントコード実行が可能

macOSのFinderコンポーネントで新たに発見されたゼロデイ脆弱性により、コードの実行と任意のコマンドの静かな実行が可能になると、セキュリティ研究者は明らかにしました。開示は、SSD Secure Disclosure（ベンダーへの脆弱性の責任ある報告と開示を目的としたプラットフォーム）を通じて行われました。

研究者によると、この脆弱性はmacOSFinderが.inetlocファイルを処理する方法にあります。これらはWindowsマシンで使用されるWebショートカットに似ていますが、機能が多少広くなっています。 .inetlocファイルは、WebサイトやURLだけでなく、ニュースフィードやTelnetの場所も指すことができます。

この問題は、.inetlocファイルが持つ追加の機能に起因します。これらのファイルは、同じファイル形式を使用して、ユーザーのハードドライブにあるローカルドキュメントを指すことができます。これは、.inetlocファイルのhttp：//部分がfile：//に置き換えられているWindowsシステムでのファイルショートカットの機能と同様に機能します。

攻撃者は、コマンドが埋め込まれた、修正された悪意のある.inetlocファイルを作成するだけで済みます。ドクターファイルが作成されたら、それを十分な数の被害者に広め、マルスパムキャンペーンとソーシャルエンジニアリングを使用して、ユーザーに悪意のある添付ファイルを開かせるだけです。

重要なことに、この問題はmacOS Big Sur（オペレーティングシステムの現在のバージョン）にも影響し、古いリリースやパッチが適用されていないリリースに限定されません。この問題は、ParkMinchanという名前の独立した研究者によってSSDSecureDisclosureプラットフォームに報告されました。

これに応じて、Appleはすぐに修正プログラムパッチを発行しましたが、問題のCVEエントリを提出しませんでした。しかし、研究者によると、修正は問題を完全に解決しませんでした。

この修正により、file：//プレフィックスが機能しなくなりましたが、パッチでは大文字と小文字が区別されていました。つまり、File：//は引き続き修正を回避できます。

ThreatPostは、問題の脆弱性の積極的な悪用に関する情報がないことを報告し、さらにコメントを求めてAppleに連絡したときに応答を受け取らなかったと述べました。