Tämä hyödyntäminen löydettiin Malwarebytes-yritys, joka on yksi tunnetuimmista haittaohjelmien tutkimuksen kannalta, toteaa lausunnossaan löysi haittaohjelmien asennusohjelman joka hyödyntäisi OS X: n uusimmassa versiossa esitetyt uudet virheen kirjausominaisuudet.
Erityisesti saisit juuritason käyttöoikeudet muokkaamalla kyseisen Mac-tietokoneen sudoers-määritystiedostoa, jättäen sen suojaamattomaksi ja avoimeksi asentaa mainosohjelmia, kuten VSearch, Genieon muunnelmat ja MacKeeper.
Jätämme Malwarebytesin kirjaimelliset lausunnot alla:
Kuten näette tässä esitetystä koodinpätkästä, komentosarja räjähtää DYLD_PRINT_TO_FILE-haavoittuvuus joka kirjoittaa tiedostoon ja suorittaa sen sitten. Osa muokkauksesta poistetaan, kun se on kirjoittanut tiedostoon.
Perusosa tästä muunnoksesta on sudoers-tiedostossa. Skripti tekee muutoksen, joka sallii komentokäskyjen suorittamisen root-sovelluksena sudon avulla ilman salasanan syöttämistä.
Sitten komentosarja käyttää uutta sudo-salasanamatonta käyttäytymistä käynnistääkseen asennusohjelman levykuvan piilotetusta hakemistosta löydetyn VSInstaller-sovelluksen, joka antaa sille pääkäyttäjän oikeudet ja siten mahdollisuuden asentaa mitä tahansa. (Tämä sovellus on vastuussa VSearch-mainosohjelman asennuksesta.)
Ars Technica kertoi ensimmäisen kerran tästä löytämästä virheestä tutkija Stefan Esser viime viikolla sanomalla, että kehittäjät eivät pystyneet käyttämään tavallisia OS X -suojausprotokollia dyld: n kanssa. Esserin mukaan haavoittuvuus esiintyy Applen nykyisessä OS X 10.10.4 -versiossa ja OS X 10.10.5: n viimeisimmissä beetaversioissa, ei vielä OS X 10.11: ssä.
