Dieser Exploit entdeckt von Malwarebytes, einem der renommiertesten Unternehmen auf dem Gebiet der Malware-Forschung, heißt es in einer Erklärung entdeckte ein Malware-Installationsprogramm Dies würde die neuen Fehlerprotokollierungsfunktionen nutzen, die in der neuesten Version von OS X eingeführt wurden.
Insbesondere würden Sie Berechtigungen auf Stammebene erhalten, indem Sie die sudoers-Konfigurationsdatei des betreffenden Mac ändern. Lassen Sie es ungeschützt und offen um Adware wie VSearch, Variationen von Genieo und MacKeeper zu installieren.
Wir lassen die wörtlichen Aussagen von Malwarebytes unten:
Wie Sie dem hier gezeigten Code-Snippet entnehmen können, explodiert das Skript die Sicherheitsanfälligkeit DYLD_PRINT_TO_FILE welches in die Datei schreibt und sie dann ausführt. Ein Teil der Änderung wird entfernt, wenn sie gerade in die Datei geschrieben wurde.
Der grundlegende Teil dieser Änderung liegt in der sudoers-Datei. Das Skript nimmt eine Änderung vor, mit der Shell-Befehle mit sudo als root ausgeführt werden können, ohne dass normalerweise ein Kennwort eingegeben werden muss.
Das Skript verwendet dann das neue kennwortlose Verhalten von sudo, um die VSInstaller-Anwendung zu starten, die sich in einem versteckten Verzeichnis im Installations-Disk-Image befindet, und gibt ihr Superuser-Berechtigungen und damit die Möglichkeit, alles an einem beliebigen Ort zu installieren. (Diese Anwendung ist für die Installation der VSearch-Adware verantwortlich.)
Ars Technica berichtete zuerst über diesen Fehler, der von entdeckt wurde Forscher Stefan Esser letzte Woche wurde gesagt, dass die Entwickler keine Standard-OS X-Sicherheitsprotokolle mit dyld verwenden konnten. Esser sagte, dass die Sicherheitsanfälligkeit in Apples aktueller Version von OS X 10.10.4 und in neueren Beta-Versionen von OS X 10.10.5 vorhanden ist, nicht bereits in OS X 10.11.
