Un error recién descubierto en todas las versiones de macOS, incluido el último macOS Big Sur, permite a los atacantes ejecutar código arbitrario de forma remota con la ayuda de archivos incrustados en correos electrónicos.
La vulnerabilidad, descubierta por el investigador independiente Park Minchan y reportada a SSD Secure Disclosure, permite que los archivos con la extensión inetloc ejecuten comandos arbitrarios sin preguntar primero al usuario de Mac.
Los atacantes pueden incluir archivos inetloc en mensajes de correo electrónico como archivos adjuntos que, si se hace clic en ellos, ejecutarán el código incrustado localmente. No está claro si el exploit se ha utilizado en otros ordenadores, pero posiblemente se podría aprovechar este error para colocar archivos maliciosos en los ordenadores de los usuarios de Mac.
Los archivos de ubicación de Internet con extensiones inetloc pueden considerarse marcadores de todo tipo de recursos en línea como fuentes RSS o ubicaciones telnet. También se pueden usar para interactuar con archivos locales a través de file://.
Apple supuestamente parcheó file:// pero no ha bloqueado otras iteraciones del prefijo como File: // o fIle: //, lo que significa que los posibles atacantes pueden eludir fácilmente las protecciones integradas. Apple, según Minchan, tampoco ha dotado al error una designación CVE.
