Компания Apple без лишнего шума исправила уязвимость, позволявшую атакующим обойти встроенную в macOS систему карантина файлов и исполнить вредоносный код JavaScript.
Проблема была обнаружена итальянским экспертом компании Segment Филиппо Кавалларином (Filippo Cavallarin), который сообщил о ней Apple в рамках программы Beyond Security SSD (SecuriTeam Secure Disclosure). По словам исследователей Beyond Security, компания устранила проблему в macOS High Sierra (10.13), однако ни словом не обмолвилась об этом в аннотации к сентябрьскому обновлению.
Как пояснил Кавалларин, система карантина в macOS устанавливает расширенный атрибут для загруженных файлов (а также для файлов, извлеченных из загруженных изображений или архивов), говорящий операционной системе открыть/исполнить файлы в ограниченной среде. К примеру, помещенный в карантин HTML файл не сможет загрузить локальные ресурсы. Суть проблемы заключается в том, что файл rhtmlPlayer.html (часть ядра macOS) уязвим к атакам DOM Based XSS, что позволяет выполнить JavaScript-код в контексте rhtmlPlayer.html.
Цепь эксплуатации предполагает создание вредоносного .webloc файла, который загружает локальный файл rhtmlPlayer.html, эксплуатирует XSS в нем и исполняет вредоносный код JavaScript через rhtmlPlayer.html, таким образом обеспечивая обход ограничения macOS на загрузку локальных ресурсов. Когда пользователь получает такой файл и запускает его, файл отправляет вредоносный код локальному rhtmlPlayer.html, который исполняет его с полным доступом к локальным ресурсам ОС.
По словам исследователя, уязвимость затрагивает версии macOS 10.12, 10.11, 10.10 и, вероятно, более ранние.