นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใหม่ใน macOS Finder ของ Apple ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งบน Mac ที่ใช้ macOS เวอร์ชันใดก็ได้จนถึง Big Sur รุ่นล่าสุด
Zero-days เป็นช่องโหว่ที่เปิดเผยต่อสาธารณะ ซึ่งยังไม่ได้รับการแก้ไขโดยเจ้าของผลิตภัณฑ์ ในบางกรณีก็มีรายงานว่าถูกใช้ในการโจมตีจริงเรียบร้อยแล้ว หรือได้รับการพิสูจน์แล้วว่าสามารถโจมตีได้จริง ช่องโหว่นี้ถูกพบโดย Park Minchan นักวิจัยด้านความปลอดภัยอิสระ เกิดจากวิธีที่ macOS ประมวลผลไฟล์ inetloc ซึ่งทำให้เรียกใช้คำสั่งที่ผู้โจมตีฝังไว้โดยไม่ตั้งใจ และไม่มีคำเตือนหรือข้อความแจ้ง
บน macOS Internet location files ที่มีนามสกุล .inetloc เป็นบุ๊กมาร์กทั้งระบบที่สามารถใช้เปิดแหล่งข้อมูลออนไลน์ได้ (news://, [ftp://|ftp:], afp://) หรือไฟล์ในเครื่อง (file://) ช่องโหว่ใน macOS Finder ช่วยให้ไฟล์ที่มีนามสกุลเป็น inetloc สามารถรันคำสั่งใดก็ได้ และไฟล์เหล่านี้สามารถฝังอยู่ภายในอีเมลได้ ซึ่งหากผู้ใช้คลิกที่ไฟล์ประเภทนี้ที่แนบมาในอีเมล คำสั่งที่ฝังอยู่ภายในอีเมลเหล่านั้นก็จะทำงานทันทีโดยไม่ต้องขึ้น prompt หรือคำเตือนแก่ผู้ใช้งาน
Apple ดำเนินการ patch แต่ไม่ได้กำหนดหมายเลข CVE
แม้ว่าทาง Apple ได้แก้ไขปัญหาเบื้องต้นไปแล้วโดยไม่มีการระบุหมายเลข CVE แต่ตามที่ Minchan ค้นพบในภายหลัง การแก้ไขช่องโหว่นี้ของ Apple ได้แก้ไขข้อบกพร่องเพียงบางส่วนเท่านั้น เนื่องจากยังคงสามารถโจมตีได้โดยการเปลี่ยนโปรโตคอลที่ใช้ในการรันคำสั่งที่ฝังจาก file:// เป็น FiLe:// เนื่องจาก macOS เวอร์ชันที่อัปเดต (จาก Big Sur) ได้บล็อกเฉพาะคำนำหน้าที่เขียนในรูปแบบ file:// เท่านั้น (คำนำหน้าใน com.
