Denne udnyttelse opdaget af Malwarebytes-firmaet, en af de mest velrenommerede med hensyn til forskning i ondsindet software, siger i en erklæring, at opdagede et malware-installationsprogram som ville drage fordel af de nye fejllogfunktioner, der blev introduceret i den nyeste version af OS X.
Specifikt ville du få tilladelser på rodniveau ved at ændre sudoers-konfigurationsfilen på den pågældende Mac, efterlader det ubeskyttet og åbent at installere adware såsom VSearch, variationer af Genieo og MacKeeper.
Vi efterlader Malwarebytes bogstavelige udsagn nedenfor:
Som du kan se fra det kodestykke, der vises her, eksploderer scriptet DYLD_PRINT_TO_FILE-sårbarheden som skriver til filen og derefter udfører den. En del af ændringen fjernes, når den netop er skrevet til filen.
Den grundlæggende del af denne ændring ligger i sudoers-filen. Scriptet foretager en ændring, der gør det muligt at køre shell-kommandoer som root ved hjælp af sudo uden det sædvanlige krav om at indtaste en adgangskode.
Scriptet bruger derefter sudos nye adgangskodeløse opførsel til at starte VSInstaller-applikationen, der findes i et skjult bibliotek i installationsdiskbillede, hvilket giver det superbrugertilladelser og dermed muligheden for at installere alt hvor som helst. (Denne applikation er ansvarlig for installationen af VSearch adware.)
Ars Technica rapporterede først om denne fejl opdaget af forsker Stefan Esser i sidste uge og sagde, at udviklere ikke kunne bruge standard OS X-sikkerhedsprotokoller med dyld. Esser sagde, at sårbarheden er til stede i Apples nuværende version af OS X 10.10.4 og i nyere betaversioner af OS X 10.10.5, ikke allerede i OS X 10.11.
