В почтовом клиенте macOS Mail компании Apple была обнаружена так называемая «zero click» уязвимость CVE-2020-9922, то есть такая, которая не требует от получателя письма никаких активных действий, чтобы привести в действие процедуру взлома его учётной записи. Атака осуществляется путём добавления или изменения произвольного файла в изолированной среде «песочницы» Apple Mail.

Вредоносное письмо, эксплуатирующее новую уязвимость, приходит с двумя вложениями — файлами с расширением ZIP. Анализируя их, приложение Apple Mail находит в заголовке строку x-mac-auto-archive = yes после чего автоматически распаковывает файлы.

Хотя Apple уже выпустила исправление для CVE-2020-9922, для тех машин, чьи пользователи запоздали с установкой обновлений безопасности, угроза сохраняется.

Рейтинг серьёзности данной уязвимости не слишком высок и составляет 6.5 баллов. Тем не менее, Натали Пэйдж (Natalie Page), аналитик угроз из фирмы Talion, предостерегает от недооценки этого эксплойта.

«Лёгкость, с которой злоумышленник может его использовать, в сочетании с потенциально тревожными вторжениями, которые могут развиться в результате проникновения через эту уязвимость, вот что делает данный эксплойт опасным, — заявила она. — Скомпрометированная эта уязвимость может позволить злоумышленнику конфигурировать эккаунт для переадресации почты, захватывать учётную запись, сбрасывать пароль, извлекать конфиденциальные сведения».

В связи с этим эксперты рекомендуют как можно скорее установить соответствующие патчи пользователям следующих систем: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 и macOS Catalina 10.15.5.

Источник: ko.com.ua