macOS Archive Utility 存在新漏洞

关键要点

• 新发现的 macOS 漏洞可绕过 Apple 的安全检查，导致恶意应用程序执行。
• 漏洞编号为 CVE-2002-32910，源于 Jamf Threat Labs 的研究。
• Apple 于 2022 年 7 月发布补丁，修复了这个问题。
• 漏洞允许通过特制归档文件绕过 Gatekeeper 安全系统。

近期，安全研究人员发布了关于 macOS Archive Utility中一个新漏洞的，该漏洞可能被利用执行恶意应用程序，从而绕过 Apple 的安全检查。此漏洞编号为 CVE-2002-32910，是由 Apple 设备管理公司 Jamf Threat Labs 在 macOS Monterey 12.5中发现的。Jamf 在其近期的博客中指出，这个新缺陷“可以通过使用特制的归档文件，导致在不显示安全提示的情况下执行未签名和未 notarized的应用程序”。

Jamf 于 2022 年 5 月 31 日将其调查结果报告给了 Apple。Apple 表示，已于 2022 年 7 月在 和 中修复了此问题。科技巨头还修订了 10 月 4日发布的安全通告，新增了这个漏洞的说明。

根据 Jamf 的说法，问题始于其研究人员发现 Safari 中存在一个漏洞，该漏洞可以利用一个特制的 ZIP 归档文件绕过 Mac 端点安全，漏洞编号为 CVE-2022-22616。Jamf 在向 Apple 报告此漏洞后，测试了其他归档功能，发现了 macOS Archive Utility 的缺陷。

“我们发现，使用类似的命令创建 Apple Archive 也会导致在执行时绕过 Gatekeeper 和所有安全检查，”Jamf 在博客中指出。

尽管这个命令看起来像是用于攻击 CVE-2022-22616 的 ZIP 命令，但 Jamf 表示，这个缺陷与材料清单（BOM）无关。

Apple Archive 是该公司专有的格式，允许多线程无损压缩，其文件在 Finder 中显示为扩展名为 “.aar”。但值得注意的是，该漏洞并不仅限于 Apple Archive。

Jamf 解释说，当文件从互联网下载时，归档文件会带有一个名为 “com.apple.quarantine” 的扩展属性。这个属性告诉 macOS该文件是来自远程源，必须在允许运行之前检查。当 Archive Utility提取一个归档时，它会将隔离属性应用于所有提取的项目，以确保任何打开的可执行文件会经过 Gatekeeper 的检查。

然而，研究人员发现，在某些情况下，Archive Utility 未能将某些解压的文件标记为隔离属性。因此，Gatekeeper在文件运行之前无法检查这些文件。这个缺陷可能导致恶意应用程序自动运行，而用户根本没有收到任何通知。

Jamf 的首席信息安全官 Aaron Kiemele 向 SC Media表示，关注可以降低新出现漏洞的风险。

“操作系统和应用程序需要定期更新，反恶意软件软件在未应用补丁的情况下也能提供帮助，”Kiemele说。“这两种控制措施，即有效的设备管理和反恶意软件，相互支持以降低安全和隐私风险。”