Apple heeft met High Sierra een kwetsbaarheid in macOS gepatcht waardoor een beveiligingsmaatregel van het besturingssysteem kon worden omzeild en een aanvaller kwaadaardige JavaScript had kunnen uitvoeren. Het gaat om de Quarantine-maatregel die bij gedownloade bestanden wordt toegepast.

Quarantine voorziet gedownloade bestanden van een extra attribuut waardoor het systeem deze bestanden in een beperkte omgeving opent en uitvoert. Zo kan bijvoorbeeld een html-bestand geen lokale bronnen laden. Een kwetsbaarheid in een html-bestand dat onderdeel van de macOS-core is maakt het echter mogelijk om de Quarantine-maatregel te omzeilen en JavaScript in een niet beperkte context uit te voeren.

Het probleem werd door onderzoeker Filippo Cavallarin ontdekt, die een demonstratievideo maakte waarin wordt getoond hoe een aanvaller, door de gebruiker een zip-bestand met daarin een html-bestand te laten downloaden en openen, bestanden kan stelen. Cavallarin waarschuwde Apple eind juli. Volgens de onderzoeker heeft Apple het probleem "stilletjes" in macOS High Sierra gepatcht en is er geen melding van de kwetsbaarheid in de release notes gemaakt.

Video - Mac OS X Local Javascript Quarantine Bypass. Bron: YouTube