Този подвиг откри от Malwarebytes, една от най-реномираните компании в областта на изследванията на злонамерен софтуер, посочва в изявление, че откри инсталатора на зловреден софтуер което би се възползвало от новите функции за регистриране на грешки, въведени в последната версия на OS X.
По-конкретно, бихте получили разрешения на ниво корен, като промените конфигурационния файл на sudoers на въпросния Mac, оставяйки го незащитено и отворено да инсталирате рекламен софтуер като VSearch, вариации на Genieo и MacKeeper.
Оставяме буквалните изявления на Malwarebytes по-долу:
Както можете да видите от показания тук кодов фрагмент, скриптът експлодира уязвимостта DYLD_PRINT_TO_FILE който записва във файла и след това го изпълнява. Част от модификацията се премахва, когато току-що е записала във файла.
Основната част от тази модификация се крие във файла sudoers. Скриптът прави промяна, която позволява командите на черупката да се изпълняват като root, използвайки sudo, без обичайното изискване за въвеждане на парола.
След това скриптът използва новото поведение на sudo без парола, за да стартира приложението VSInstaller, намерено в скрита директория на образа на диска на инсталатора, като му дава права на суперпотребител и по този начин възможността да инсталира каквото и да е навсякъде. (Това приложение отговаря за инсталирането на рекламен софтуер VSearch.)
Ars Technica за първи път съобщи за тази грешка, открита от изследовател Стефан Есер миналата седмица, казвайки, че разработчиците не са могли да използват стандартните протоколи за сигурност на OS X с dyld. Esser каза, че уязвимостта присъства в текущата версия на Apple OS X 10.10.4 и в последните бета версии на OS X 10.10.5, а не в OS X 10.11.
