macOS 出现安全漏洞，苹果却只补一半

根据外媒《9to5mac》报导，Mac 出现一个安全漏洞，当用户透过电子信箱打开邮件时，骇客就能接管这个设备。苹果声称已经修补 Big Sur 和 Monterey 中的漏洞，但研究人员认为，苹果并没有修补完全，仍存在一些漏洞。

安全研究人员 Park Minchan 发现，苹果 macOS 中的一个程式码执行错误，允许骇客远距在用户的设备上执行任何命令，方法是以 inetloc 做为附档名的网络捷径档案。

inetloc 是个网络位置的捷径档，并包含服务器位址，专门存放网络资源或是本地端的档案。Minchan 解释，macOS 处理 inetloc 档案的方式存在漏洞，只要骇客透过电子邮件夹带恶意的 inetloc 档案，就能触发该漏洞，使档案中的恶意命令运作，并在用户没收到任何警告 / 提示的情况下执行任意命令。

这个漏洞还影响 macOS Big Sur 和之前的版本。更糟糕的是，技术资讯网站 Ars Technica 测试过后发现苹果还没完全修补好它。

Minchan 表示，网络捷径在 Windows 和 macOS 系统中都存在，但这个特定的漏洞对 macOS 用户产生不利影响，特别是使用像“邮件”（Mail）App 这样的内建电子信箱的用户。

目前，苹果已经修补这个漏洞，封锁 file:// 开头的 URL，但这个修补程式有分大小写，因此大小写混合的 URL，例如 FiLe://、File:// 或 fIle:// 仍能够以完全相同的方式运行，而且到目前为止还没有被修补。

• Mac shortcut bug can take over machine; Apple patch unsuccessful

（首图来源：pixabay）