Cet exploit découvert par la société Malwarebytes, l'une des plus réputées en termes de recherche de logiciels malveillants, déclare dans un communiqué que a découvert un programme d'installation de malware qui tirerait parti des nouvelles fonctionnalités de journalisation des erreurs introduites dans la dernière version d'OS X.
Plus précisément, vous obtiendrez des autorisations au niveau racine en modifiant le fichier de configuration sudoers du Mac en question, le laissant sans protection et ouvert pour installer des logiciels publicitaires tels que VSearch, des variantes de Genieo et MacKeeper.
Nous vous laissons les déclarations littérales de Malwarebytes ci-dessous:
Comme vous pouvez le voir dans l'extrait de code présenté ici, le script explose la vulnérabilité DYLD_PRINT_TO_FILE qui écrit dans le fichier puis l'exécute. Une partie de la modification est supprimée à la fin de l'écriture dans le fichier.
La partie fondamentale de cette modification réside dans le fichier sudoers. Le script apporte une modification qui permet aux commandes shell d'être exécutées en tant que root en utilisant sudo, sans l'obligation habituelle de saisir un mot de passe.
Le script utilise ensuite le nouveau comportement sans mot de passe de sudo pour lancer l'application VSInstaller, qui se trouve dans un répertoire caché sur l'image disque du programme d'installation, lui donnant les autorisations de super-utilisateur et donc la possibilité d'installer n'importe quoi n'importe où. (Cette application est responsable de l'installation du logiciel publicitaire VSearch.)
Ars Technica a d'abord signalé ce bug découvert par chercheur Stefan Esser la semaine dernière, disant que les développeurs n'étaient pas en mesure d'utiliser les protocoles de sécurité OS X standard avec dyld. Esser a déclaré que la vulnérabilité est présente dans la version actuelle d'Apple d'OS X 10.10.4 et dans les versions bêta récentes d'OS X 10.10.5, pas déjà dans OS X 10.11.