Bug in macOS Finder allows remote code execution

Des chercheurs ont découvert une faille dans le système macOS Finder d'Apple qui pourrait permettre à des acteurs de menaces à distance de tromper des utilisateurs peu méfiants en exécutant des commandes arbitraires sur leurs appareils. La faille de sécurité affecte toutes les versions du système d'exploitation macOS Big Sur et les systèmes plus anciens.

« Une vulnérabilité dans macOS Finder permet aux fichiers dont l'extension est inetloc d'exécuter des commandes arbitraires, ces fichiers peuvent être intégrés dans des e-mails qui, si l'utilisateur clique dessus, exécuteront les commandes intégrées à l'intérieur sans fournir d'invite ou d'avertissement à l'utilisateur », précise le blog de SSD Secure Disclosure à propos du bogue.

Park Minchan, le chercheur indépendant à qui l'on doit la découverte de la faille de sécurité, a déclaré que l'application de messagerie n'était pas le seul vecteur d'attaque possible, mais que la vulnérabilité pouvait être exploitée à l'aide de tout programme capable de joindre et d'exécuter des fichiers, citant iMessage et Microsoft Office comme exemples viables.

La faille de sécurité découle de la façon dont macOS traite les fichiers de localisation Internet (INETLOC), qui sont utilisés comme raccourcis pour ouvrir divers emplacements Internet, comme des flux RSS ou des emplacements telnet. Ces fichiers contiennent généralement une adresse web et peuvent parfois contenir des noms d'utilisateur et des mots de passe pour les connexions Secure Shell (SSH) et Telnet. La façon dont les fichiers INETLOC sont traités par macOS fait qu'ils exécutent les commandes qui sont intégrées à l'intérieur, ce qui leur permet d'exécuter des commandes arbitraires sans alertes ou invites de l'utilisateur.

« Dans le cas présent, inetloc fait référence à un protocole file:// qui permet d'exécuter des fichiers stockés localement (sur l'ordinateur de l'utilisateur). Si le fichier inetloc est joint à un courriel, le fait de cliquer sur la pièce jointe déclenchera la vulnérabilité sans avertissement », peut-on lire dans la description de la manière dont le bug pourrait être exploité.

Le géant de la technologie de Cupertino a été informé de la vulnérabilité et s'est employé à combler la faille file:// en sourdine. Cependant, il a curieusement décidé de ne pas lui attribuer d'identifiant CVE (Common Vulnerabilities and Exposures). En outre, il semble également que le correctif n'ait pas entièrement résolu le problème.

Alors que les nouvelles versions de macOS (Big Sur et ultérieures) bloquent le préfixe file://, le fait de changer la casse des lettres en utilisant plutôt File:// ou fIle:// par exemple, permet de contourner la vérification. SSD Secure Disclosure a déclaré qu'elle avait contacté Apple et l'avait informée du problème. Cependant, elle n'a reçu aucune réponse et la vulnérabilité n'a pas encore été correctement corrigée.