See ekspluateerimine avastati Malwarebytes'i firma poolt, mis on üks pahatahtliku tarkvara uuringute poolest mainekamaid, väidab oma avalduses avastas pahavara installija mis kasutaks ära OS X uusimas versioonis kasutusele võetud uued tõrgude logimise funktsioonid.
Täpsemalt, saate root-taseme õigused, muutes kõnesoleva Mac sudoersi konfiguratsioonifaili, jättes selle kaitsmata ja avatuks reklaamvara installimiseks nagu VSearch, Genieo variatsioonid ja MacKeeper.
Malwarebytes'i sõnasõnalised avaldused jätame allpool:
Nagu siin näidatud koodilõigust näete, skript plahvatab haavatavus DYLD_PRINT_TO_FILE mis kirjutab faili ja seejärel täidab selle. Osa muudatusest eemaldatakse, kui see on just faili kirjutanud.
Selle muudatuse põhiosa peitub sudoersi failis. Skript teeb muudatuse, mis lubab shellikäske käivitada rooto abil sudo abil ilma parooli sisestamise tavapärase nõudeta.
Seejärel kasutab skript sudo uut paroolita käitumist VSInstalleri rakenduse käivitamiseks, mis on installija kettapildil peidetud kataloogis, andes sellele superkasutaja õigused ja seega võimaluse installida ükskõik kuhu. (See rakendus vastutab VSearch reklaamvara installimise eest.)
Ars Technica teatas esmakordselt sellest avastatud veast uurija Stefan Esser eelmisel nädalal, öeldes, et arendajad ei suutnud kasutada standardseid OS X turvaprotokolle koos dyldiga. Esseri sõnul on haavatavus olemas Apple'i praeguses OS X 10.10.4 versioonis ja OS X 10.10.5 hiljutistes beetaversioonides, mitte veel OS X 10.11 versioonis.
