安全研究人员发布了关于Archive Utility的一个新的macOS漏洞的细节，该漏洞可以被利用来执行恶意的应用程序，以绕过苹果的安全检查。

该漏洞被追踪为CVE-2002-32910，由苹果设备管理公司Jamf威胁实验室在macOS Monterey 12.5发现。Jamf在其最近的博客文章中指出，这个新的漏洞 "可能导致在不向用户显示安全提示的情况下，通过使用专门制作的档案，执行一个未签署和未公证的应用程序"。

Jamf在2022年5月31日向苹果报告了它的发现。苹果公司表示，它于2022年7月在macOS大苏11.6.8和蒙特利12.5中修补了这个问题。这家科技巨头还修改了10月4日发布的建议，为该漏洞增加了一个条目。

Jamf说，这个问题始于其研究人员在Safari浏览器中发现的一个漏洞，该漏洞可以通过利用CVE-2022-22616下跟踪的精心制作的ZIP档案漏洞绕过Mac终端安全。在向苹果公司报告这一漏洞后，研究人员测试了其他归档功能，发现了macOS归档工具的缺陷。

"我们发现，用类似的命令创建一个苹果档案，也会导致执行时绕过Gatekeeper和所有的安全检查，"Jamf在帖子中指出。

虽然该命令看起来像可用于攻击CVE-2022-22616的ZIP命令，但这个缺陷是不同的，因为它不存在材料清单（BOM），根据Jamf。

苹果档案是该公司的专有格式，允许多线程无损压缩，文件在查找器中显示的扩展名为".ar"。然而，这个漏洞并不限于苹果档案。

Jamf解释说，当档案从互联网上下载时，会有一个名为 "com.apple.quarantine "的扩展属性。这个属性通知macOS，该文件是从一个远程来源下载的，需要在允许运行之前进行检查。当Archive Utility提取一个存档时，它将隔离属性应用于所有提取的项目，以确保任何打开的可执行文件将被Gatekeeper检查。

但研究人员发现，在某些情况下，Archive Utility未能给一些未存档的文件提供隔离属性。因此，关守无法在文件运行前检查这些文件。这个缺陷可能导致恶意应用程序自动运行，而用户却没有得到通知。

Jamf公司的首席信息安全官Aaron Kiemele告诉SC Media，只要关注基本面，就可以减少新出现的漏洞的风险。

"Kiemele说："操作系统和应用程序需要定期打补丁，反恶意软件在那些没有应用补丁的情况下会有帮助。"有效的设备管理和反恶意软件这两项控制措施相互支持，以减少安全和隐私风险。"