Ovo otkriće otkriveno by Malwarebytes, jedne od najuglednijih tvrtki na polju istraživanja zlonamjernog softvera, navodi se u izjavi koja otkrio program za instaliranje zlonamjernog softvera što bi iskoristilo nove značajke evidentiranja pogrešaka uvedene u najnovijoj verziji OS X.
Konkretno, dobili biste dozvole na razini korijena modificirajući datoteku konfiguracije sudoers na dotičnom Macu, ostavljajući je nezaštićenom i otvorenom za instaliranje adware-a poput VSearch-a, varijacija Genieo-a i MacKeepera.
U nastavku ostavljamo doslovne izjave Malwarebytesa:
Kao što možete vidjeti iz ovdje prikazanog isječka koda, skripta eksplodira ranjivost DYLD_PRINT_TO_FILE koji zapisuje u datoteku, a zatim je izvršava. Dio modifikacije uklanja se kada je upravo upisan u datoteku.
Temeljni dio ove preinake nalazi se u datoteci sudoers. Skripta vrši promjenu koja omogućuje pokretanje naredbi ljuske kao root pomoću sudo-a, bez uobičajenog zahtjeva za unosom lozinke.
Skripta zatim koristi sudovo novo ponašanje bez lozinke za pokretanje aplikacije VSInstaller, koja se nalazi u skrivenom direktoriju na slici diska instalacijskog programa, dajući joj dozvole superusera i time mogućnost da bilo što instalira bilo gdje. (Ova je aplikacija odgovorna za instalaciju VSearch adwarea.)
Ars Technica je prvi put izvijestio o ovoj grešci koju je otkrio istraživač Stefan Esser prošlog tjedna, rekavši da programeri nisu mogli koristiti standardne OS X sigurnosne protokole s dyld. Esser je rekao da je ranjivost prisutna u Appleovoj trenutnoj verziji OS X 10.10.4 i u novijim beta verzijama OS X 10.10.5, a ne već u OS X 10.11.
