Toto zneužití bylo objeveno společnost Malwarebytes, jedna z nejuznávanějších z hlediska výzkumu škodlivého softwaru, uvádí ve svém prohlášení objevil instalační program malwaru což by využilo nové funkce protokolování chyb představené v nejnovější verzi OS X.
Konkrétně byste získali oprávnění na kořenové úrovni úpravou konfiguračního souboru sudoers dotyčného počítače Mac, nechávat ji nechráněnou a otevřenou k instalaci adwaru, jako je VSearch, varianty Genieo a MacKeeper.
Doslovná prohlášení Malwarebytes ponecháváme níže:
Jak vidíte ze zde zobrazeného fragmentu kódu, skript exploduje zranitelnost DYLD_PRINT_TO_FILE který zapíše do souboru a poté jej provede. Část úpravy je odstraněna, když je právě zapsána do souboru.
Základní část této úpravy spočívá v souboru sudoers. Skript provede změnu, která umožňuje spuštění příkazů prostředí jako root pomocí sudo, bez obvyklého požadavku na zadání hesla.
Skript poté použije nové bezšňůrové chování sudo ke spuštění aplikace VSInstaller, která se nachází ve skrytém adresáři v obrazu disku instalačního programu, což mu dává oprávnění superuživatele, a tedy možnost instalovat cokoli kdekoli. (Tato aplikace odpovídá za instalaci adwaru VSearch.)
Společnost Ars Technica poprvé informovala o této chybě objevené uživatelem výzkumník Stefan Esser minulý týden s tím, že vývojáři nebyli schopni používat standardní bezpečnostní protokoly OS X s dyld. Společnost Esser uvedla, že chyba zabezpečení je přítomna v aktuální verzi Apple OS X 10.10.4 a v posledních beta verzích OS X 10.10.5, nikoli již v OS X 10.11.
