Este exploit descubierto por la compañía Malwarebytes, una de las más reputadas en cuanto a investigación de software malicioso, afirma en un comunicado que ha descubierto un instalador de malware que se aprovecharía de las nuevas funciones de registro de errores introducidas en la última versión de OS X.
En concreto, obtendría permisos a nivel de raíz modificando el archivo de configuración sudoers del Mac en cuestión, dejándolo desprotegido y abierto para instalar adware como VSearch, variaciones de Genieo y MacKeeper.
Las declaraciones literales de Malwarebytes os las dejamos a continuación:
Como se puede ver en el fragmento de código que se muestra aquí, el script explota la vulnerabilidad DYLD_PRINT_TO_FILE que escribe en el archivo y luego lo ejecuta. Parte de la modificación se elimina cuando esta acaba de escribir en el archivo.
La parte fundamental de esta modificación radica en el archivo sudoers. El script realiza un cambio que permite comandos de shell para ejecutarse como root usando sudo, sin el requisito habitual de introducir una contraseña.
A continuación, el script usa el nuevo comportamiento sin contraseña de sudo para lanzar la aplicación VSInstaller, que se encuentra en un directorio oculto en la imagen de disco del instalador, dándole permisos de superusuario y por lo tanto la capacidad de instalar cualquier cosa en cualquier lugar. (Esta aplicación es responsable de la instalación del adware VSearch.)
Ars Technica informó por primera vez sobre este bug descubierto por el investigador Stefan Esser la semana pasada, diciendo que los desarrolladores no pudieron utilizar los protocolos de seguridad estándar de OS X con dyld. Esser dijo que la vulnerabilidad está presente en la actual versión de OS X 10.10.4 de Apple y en las versiones beta recientes de OS X 10.10.5, no así ya en OS X 10.11.
