Apple MacOS Textedit解析缺陷通过悬挂标记注射泄露了本地文件

缺陷使攻击者能够泄漏受害者的IP地址并获取本地文件

更新MACOS漏洞使攻击者能够在TXT文件中执行恶意HTML，如果受害者打开，可能会泄露其IP地址，更糟的是，可以访问本地文件。

现在修补了，安全缺陷源于开源的Textedit如何解析TXT文件苹果默认情况下打开TXT文件的应用程序。

尽管有这一发展 - 以及2019年的发现内存腐败错误安全研究人员Paulos Yibelo表示，导致Microsoft等效文本编辑器Notepad - 防病毒软件，防火墙和Macos Gatekeeper对待TXT文件“作为安全下载可能是恶意的”，因为据说它们只包含文本，因为它们仅包含文本。博客文章。

研究人员告诉每日swbeplay2018官网ig。他补充说，不管文件的扩展名，“什么解释文件及其解释方式都比其他任何东西都重要”。

“许多潜在的攻击向量”

决心探索这个被低估的攻击向量，Yibelo发现使用RTF格式解析了在TextEdit上进行的基本自定义，例如使文本粗体或斜体化。

然后测试显示，可以将TextEdit被欺骗到认为打开的.txt文件实际上是RTF-HTML文件。如果txt文件开始<！doctype html> ，Textedit解析了HTML，从而允许注射有限的HTML并打开“许多潜在的攻击向量”。

泄漏IP地址

Acting on this discovery, the researcher then found that macOS Gatekeeper, which is designed to only allow trusted software to run, failed to quarantine a TXT file force-downloaded from the Tor browser that, once opened, leaked the victim’s IP address without their knowledge.

“这就是为什么我使用我的完全托入的网络而不是只是浏览器，”推文HardenedBSD联合创始人Shawn Webb回应了beplay体育能用吗这项研究。“信息泄漏绝对没有机会。”

Yibelo说，Textedit显然在HTML上进行了“非常有限的解析”，许多“有趣”的HTML属性没有可用。

阅读更多最新的苹果安全新闻

模糊揭示了CSS属性<样式> @import {“ url”} 被允许加载本地CSS文件，这是唯一有效的方案 -文件：///- 阻止外部请求，但没有打开其他本地存储的文件。

Yibelo指出，用于管理目录安装应用程序的安装点的MacOS Automount允许文件：///发布远程请求的URL。

他补充说，自动启动也可以向外部驱动器提出远程请求，因此ls/net/example.com’强制[macOS]向示例请发送远程请求。

“虽然他们做得很好，可以阻止textedit提出外部请求，但这是[苹果]允许的一件事文件：///方案，在OSX上文件：///net/11.22.33.44/a.css[哪个]连接到11.22.33.44。”

由于Automount使用内核来建立TCP连接，即使受害者使用了代理，他们的真实IP地址仍将被泄漏。

“允许无私人用户[自动安装网络资源未经检查是一个相当巨大的安全漏洞，''Shawn Webb也beplay体育能用吗说过在他的Twitter线程中。“由于这个原因，我的系统都没有启用Autof/Automount。”

Yibelo还预览了即将到来的浏览器利用，这意味着可以“无需用户互动或警告打开强制下载的TXT文件”，并泄漏“直接从TOR浏览器中删除IP”。

低叮当的水果

加载本地文件的另一个HTML属性 -- 意味着攻击者可以使用并查看TXT文件的内容。

Yibelo然后安装悬空的标记攻击，一种无脚本的数据泄漏技术，当禁用动态脚本时。

“通过结合<样式>CSS属性与属性，攻击者可以首先包括一个未封闭的样式标签，嵌入他们想要窃取的文件的内容，然后在文件打开后立即将内容泄漏到悬而未决的参数到其邪恶站点。”他解释说。

这位研究人员说：“鉴于利用多么简单，我会给它一个很高的CVSS。”

Shawn Webb also said: “These days, there aren’t many text editors that will just edit text and do nothing more,” before adding: “As security researchers, we're left with dumping the contents of the file with a simple hex editor and parsing each hex character ourselves. That is, at least, if you need to be incredibly careful. Adjust according to your threat models and accepted risks.”

“改进的支票”

Yibelo在2019年报告了该错误CVE-2019-8761说“问题已通过改进的支票解决”安全更新2019-001对于Macos Catalina 10.15.1和安全更新2019-006对于MacOS Catalina 10.15。

本文于4月6日更新了Paulos Yibelo和Shawn Webb的其他评论。beplay体育能用吗

Dailbeplay2018官网y Swig还与Apple联系以征求评论，如果和我们回来时，我们将更新文章。

你可能还喜欢复制和粘贴暴露的“低估”危险