Vulnerabilidad en Apple Quarantine

la empresa wearesegment ha descubierto una grave vulnerabilidad en OS X. Esta vulnerabilidad permite hacer un bypass de Apple Quarantine y llevar a cabo una ejecución de código arbitrario, sin ningún tipo de restricción. Apple Quarantine está diseñado para proteger a usuarios de OS X de ataques y posibles archivos maliciosos. Como bien indica el nombre, este tipo de amenazas o potenciales amenazas son almacenadas en un estado de cuarentena. Esto se lleva a cabo a través de un atributo extendido con lo que los archivos descargados son marcados.

La función del atributo es indicar al sistema que ejecute los archivos marcados en un entorno más restringido. Para ejemplificar esto podemos resumirlo en, imagina un archivo HTML en cuarente, éste no podrá cargar recursos de ninguna ubicación. La caracterísitca aporta una capa de seguridad a los usuarios, pero los investigadores de la empresa han encontrado una vulnerabilidad que permite, a través, por ejemplo, de un archivo HTML, permitir la ejecución de código Javascript en un contexto sin restricciones.



El archivo vulnerable se puede encontrar en /System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html. Apple no ha dicho mucho hasta el momento y no menciona ningún tipo de changelog sobre la misma. La única solución que se tiene es llevar a cabo la actualización a macOS High Sierra o eliminar el fichero rhtmlPlayer.html. Seguiremos atentos por si hubiera novedades respecto a esta noticia

Más información:

Mac OS X Local Javascript Quarantine Bypass:

https://www.wearesegment.com/research/Mac-OS-X-Local-Javascript-Quarantine-Bypass.html