据报道，macOS的Finder文件管理器中存在一个新漏洞，攻击者可以在Mac上跨所有版本的操作系统(包括最新版本BigSur)运行任意命令。

BleepingComputer报告称，网络安全研究员ParkMinchan报告的该漏洞的存在是因为macOS处理互联网位置(inetloc)快捷方式的方式。

“macOSFinder中的一个漏洞允许扩展名为inetloc的文件执行任意命令，这些文件可以嵌入到电子邮件中，如果用户点击它们将执行嵌入在其中的命令，而不会向用户提供提示或警告，”读到来自SSDSecureDisclosure的有关此问题的建议。

TECHRADAR需要您!

我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用，以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间，如果您能与我们分享您的经验，我们将不胜感激。

尽管Minchan没有提供有关攻击者如何滥用该漏洞的详细信息，但BleepingComputer建议利用该漏洞的一种方法是提供可能会启动捆绑或远程有效负载的恶意电子邮件附件。

SSD安全披露公告表明，Apple已悄悄解决了该问题，而未分配CVE标识号。然而，Minchan的后续调查显示，Apple的补丁仅部分解决了该缺陷，并且仍然可以通过对攻击方法稍加改动来加以利用。

“我们已经通知苹果FiLe://(只是修改了值)似乎没有被阻止，但自报告发布以来没有收到他们的任何回应。据我们所知，目前，该漏洞尚未修复，”SSD安全披露公告称。

BleepingComputer向前迈进了一步，测试了Minchan共享的概念验证漏洞，正如研究人员在他的披露中所观察到的那样。