macOS Finder RCE 任意コード実行可能な脆弱性に関する情報と注意喚起

macOSにおいて、任意コード実行可能となるゼロデイ脆弱性に関する情報が公開されているので、情報共有と注意喚起です。

概要

macOS の INETLOCファイルにおいて、特定の文字列(file://~~~~~)を指定することによってMac内に存在する任意のファイルが実行可能となるゼロデイ脆弱性が公開されています。

SSD Advisory – macOS Finder RCE

macOSの最新版でも攻撃を防げない新たなゼロデイ脆弱性が報告される

CVE(脆弱性共通識別子)は未発番となっております。

Appleには脆弱性の修正に関するパッチの適用を行いましたが、部分的な修正にとどまっているようです。

発見者であるMinchan氏はAppleに対して修正がバイパス可能である件を報告しておりますが、返答がなく修正が行われていません。(2021/09/23時点)

対象となるソフトウェアとバージョン

macOS Big Sur ~

POCの公開

Exploitコードは一般に公開されております。

脆弱性検証

Exploitコードを用いて、ぼぶセキュリティLabでは脆弱性の検証を行いました。

脆弱性を用いて電卓の起動が可能であることを確認致しました。

当該脆弱性は、RCE 任意コード実行の脆弱性として報じられておりますが、実際には特定のファイルを警告等なしに起動することが可能でした。

そのため、単体で任意のコマンドを実行することはできず、他のファイル(アプリ等)との組み合わせによって、任意コードが実行可能となっております。(2021/09/23時点)

対策

INETLOC形式のファイル自体をブラックリストに追加することや、不審な添付ファイルを開かないことが対策としてあげられます。

詳細情報

SSD Advisory – macOS Finder RCE

コメントを残す

メールアドレスが公開されることはありません。