苹果macOS系统爆出未修复的高危安全漏洞，可执行任意命令

网络安全研究人员周二披露了 macOS Finder 中一个未修补的零日漏洞的详细信息，远程攻击者可能会利用该漏洞诱骗用户在机器上运行任意命令。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，macOS Finder 中的一个漏洞允许扩展名为 inetloc 的文件执行任意命令，这些文件可以嵌入电子邮件中，如果用户点击它们将执行嵌入其中的命令，而不会向用户发出提示或警告。

这个漏洞是由于 macOS 处理 INETLOC 文件的方式——打开互联网位置的快捷方式，如 RSS 摘要、Telnet 连接或其他在线资源和本地文件导致一种高风险场景，允许在没有任何警告的情况下执行嵌入在这些文件中的命令。

这里的情况 INETLOC 指的是一个‘file://’协议，它允许在本地（在用户的计算机上）运行存储的文件，如果 INETLOC 文件附加到电子邮件，点击附件将在没有警告的情况下触发漏洞。

尽管较新版本的 macOS 已屏蔽了“file://”前缀，但仍可以通过简单地将协议更改为“File://”或“fIle://”来有效绕过检查来利用该漏洞。