Уязвимость Apple Mail может позволить злоумышленникам захватить учетные записи жертв

В MacOS Mail от Apple обнаружили уязвимость «zero-click», позволяющую злоумышленникам захватить учетную запись пользователя, добавляя или изменяя любой произвольный файл в среде песочницы Apple Mail.

Ошибка, известная как CVE-2020–9922, может быть использована путем отправки электронного письма с двумя прикрепленными файлами .ZIP.

Как только пользователь получит эти электронные письма, приложение Apple Mail проанализирует их, чтобы найти любые вложения, в заголовке которых указано x-mac-auto-archive = yes , и автоматически распакует файлы.

Аналитик по анализу угроз компании Talion , Натали Пейдж предупреждает:

«Уязвимости Apple macOS Mail был присвоен низкий рейтинг серьезности 6,5. Но легкость, с которой злоумышленник может использовать этот эксплойт делает этот эксплойт опасным.

После компрометации эта уязвимость может позволить злоумышленнику настраивать параметры учетной записи для переадресации почты, распространять корреспондентов, разрешать захват учетных записей, сброс пароля и получать конфиденциальную информацию».

Уязвимость исправлена, но только для пользователей, у которых есть обновления на своих устройствах. Рекомендуется обновить свою систему пользователям с macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.5.