La función del atributo es indicar al sistema que ejecute los archivos
marcados en un entorno más restringido. Para ejemplificar esto podemos
resumirlo en, imagina un archivo HTML en cuarente, éste no
podrá cargar recursos de ninguna ubicación. La caracterísitca aporta
una capa de seguridad a los usuarios, pero los investigadores de la
empresa han encontrado una vulnerabilidad que permite, a través, por
ejemplo, de un archivo HTML, permitir la ejecución de código Javascript en un contexto sin restricciones.
El archivo vulnerable se puede encontrar en /System/Library/CoreServices/HelpViewer.app/Contents/Resources/rhtmlPlayer.html. Apple no ha dicho mucho hasta el momento y no menciona ningún tipo de changelog sobre la misma. La única solución que se tiene es llevar a cabo la actualización a macOS High Sierra o eliminar el fichero rhtmlPlayer.html. Seguiremos atentos por si hubiera novedades respecto a esta noticia
Más información:
Mac OS X Local Javascript Quarantine Bypass:
0 comentarios:
Publicar un comentario