令人讨厌的 macOS 漏洞可能让黑客跳过安全保护措施

网络安全研究人员在macOS中发现了一个新漏洞，该漏洞允许攻击者完全绕过本地安全解决方案，并在不显示安全提示的情况下执行未签名和未公证的应用程序。

在博客文章中宣布这一消息（在新标签中打开），来自 Jamf Threat Labs 的研究人员表示，他们发现了 macOS 存档实用程序中的漏洞，这是本机 macOS 存档应用程序，类似于 WinRAR 和其他存档应用程序。

滥用此应用程序中发现的漏洞可让威胁参与者绕过 Gatekeeper 和所有其他安全检查。

隔离文件夹

Jamf 解释了该漏洞（编号为 CVE-2022-32910），表示它围绕 macOS 如何处理从互联网下载的未归档文件展开。

当 Mac 用户下载档案时，它将收到一个扩展属性标题 com.apple.quarantine，向操作系统发出信号，表明它是从远程位置接收的，应该进行分析。提取的所有内容也将收到相同的隔离属性。好吧 - 几乎所有东西。在某些情况下，存档实用程序会创建额外的文件夹以避免混淆：

“当涉及到应用程序包时，Gatekeeper 只关心应用程序目录本身是否具有隔离属性集，而忽略应用程序包中的递归文件。因此，我们可以通过确保我们的非隔离文件夹是一个应用程序来绕过 Gatekeeper，”研究人员解释说。

“如前所述，包含我们未存档文件的文件夹名称由用户控制，因为存档实用程序会根据存档名称创建此文件夹，而无需扩展名。因此，我们可以将我们的存档命名为 test.app.aar，这样当它被取消存档时，它会有一个名为 test.app 的文件夹名称。在该应用程序中将是一个包含可执行文件的预期应用程序包。”

对于要利用的漏洞，存档名称必须包含 .app 扩展名，目标目录的根目录中应该至少有两个文件或文件夹，因为这会触发临时目录的自动重命名，并且仅应用程序中的文件和文件夹应存档，不包括 test.app 目录。

Jamf 表示，在向苹果公司披露后，该公司于 2022 年 7 月修复了该问题，因此建议用户尽快更新。