Aquest exploit descobert per la companyia Malwarebytes, una de les més prestigioses quant a investigació de programari maliciós, afirma en un comunicat que ha descobert un instal·lador de codi maliciós que s'aprofitaria de les noves funcions de registre d'errors introduïdes a la darrera versió d'OS X.
En concret, obtindria permisos a nivell d'arrel modificant el fitxer de configuració sudoers del Mac en qüestió, deixant-lo desprotegit i obert per instal·lar adware com VSearch, variacions de Genieo i MacKeeper.
Les declaracions literals de Malwarebytes us les deixem a continuació:
Com es pot veure al fragment de codi que es mostra aquí, l'script explota la vulnerabilitat DYLD_PRINT_TO_FILE que escriu al fitxer i després lexecuta. Part de la modificació s'elimina quan aquesta acaba d'escriure al fitxer.
La part fonamental d'aquesta modificació rau a l'arxiu sudoers. L'script realitza un canvi que permet ordres d'intèrpret d'ordres per executar-se com a root usant sudo, sense el requisit habitual d'introduir una contrasenya.
A continuació, l'script utilitza el nou comportament sense contrasenya de sudo per llançar l'aplicació VSInstaller, que es troba en un directori ocult a la imatge de disc de l'instal·lador, donant permisos de superusuari i per tant la capacitat d'instal·lar qualsevol cosa en qualsevol lloc. (Aquesta aplicació és responsable de la instal·lació de l'adware VSearch.)
Ars Technica va informar per primera vegada sobre aquest bug descobert per l'investigador Stefan Esser la setmana passada, dient que els desenvolupadors no van poder fer servir els protocols de seguretat estàndard d'OS X amb dyld. Esser va dir que la vulnerabilitat és present a l'actual versió d'OS X 10.10.4 d'Apple ia les versions beta recents d'OS X 10.10.5, no així ja a OS X 10.11.