苹果 MAC 电脑默认文本程序存在漏洞,黑客可随意截取 IP
TextEdit 是一款预装在 Mac 电脑上看似不太起眼的文本编辑软件,但通过它可以向黑客泄露用户的 IP 地址。
根据苹果公司的安全更新说明所示,漏洞已于去年修复。对此,苹果公司拒绝置评。
伊贝洛告诉科技媒体网站 Motherboard,如果 TextEdit 的漏洞与其他漏洞一起作用,那会造成更严重的危险,不仅仅是泄露受害者的 IP 地址,更能让黑客控制受害者的电脑。例如,利用谷歌 Zero 项目研究员 2016 年发现的一个漏洞,与 TextEdit 漏洞一起,就能让黑客在受害电脑上运行 JavaScript。
在一次在线聊天中,伊贝洛说,实现远程代码执行(Remote Code Execution,即 REC),基本上一切就玩完了!
他很惊讶,TextEdit 竟然能够调用硬盘上其他本地文件和文件夹,甚至向远程服务器发送请求。如此,黑客可以利用这些功能将 HTML 代码隐藏在看似非恶意的文本文件中。
TXT 文件中出现有颜色、粗体的文本是很诡异的,伊贝洛马上意识到如果 TXT 文件中植入类似加粗的 html 代码,就会使得 TXT 文件变成这样。
尼古拉斯普塔塞克是一名在 SecureMac 工作的研究人员,他告诉 Motherboard,他在一台旧 Mac 电脑上重复操作后,确认伊贝洛发现的漏洞确实存在。
通过看似非恶意的文本文件能向第三方发送任意数据……这表明规范输入的重要性,特别在文本解析应用程序里显得更加重要。普塔塞克在一次在线聊天中告诉 Motherboard,MacOS 系统就像是一个大杂烩,来确定一个文件类型和给定应用程序如何解析内容。
好消息是,只要你更新一次 MacOS 系统,就无需担心这个漏洞。坏消息是,TextEdit 可能会有更多的漏洞。伊贝洛说他发现了另一个漏洞,正在研究中,一旦完成就会向苹果报告。
资讯来源:安全圈
