Ez a kihasználás felfedezett a Malwarebytes, a rosszindulatú programok kutatásának egyik legelismertebb vállalata nyilatkozatában kijelenti, hogy felfedezett egy rosszindulatú program telepítőt amely kihasználná az OS X legújabb verziójában bevezetett új hibanaplózási funkciókat.
Pontosabban, root szintű jogosultságokat kap a kérdéses Mac sudoers konfigurációs fájljának módosításával, védtelenül és nyitva hagyva olyan reklámprogramok telepítésére, mint a VSearch, a Genieo változatai és a MacKeeper.
A Malwarebytes szó szerinti állításait alább hagyjuk:
Amint az itt látható kódrészletből látható, a szkript felrobban a DYLD_PRINT_TO_FILE biztonsági rést amely a fájlba ír, majd végrehajtja. A módosítás egy részét akkor távolítják el, amikor az éppen a fájlba írt.
A módosítás alapvető része a sudoers fájlban található. A szkript olyan változtatást hajt végre, amely lehetővé teszi a shell parancsok rootként történő futtatását a sudo használatával, a jelszó megadásának szokásos követelménye nélkül.
Ezután a szkript a sudo új, jelszó nélküli viselkedésével elindítja a VSInstaller alkalmazást, amely egy rejtett könyvtárban található a telepítő lemezképén, ezzel engedélyt adva a felhasználónak, és így bármit telepíthet bárhova. (Ez az alkalmazás felelős a VSearch adware telepítéséért.)
Az Ars Technica először számolt be erről a hibáról, amelyet felfedezett kutató, Stefan Esser múlt héten, mondván, hogy a fejlesztők nem tudták használni a szokásos OS X biztonsági protokollokat a dyld-rel. Esser szerint a sérülékenység az Apple jelenlegi OS X 10.10.4 verziójában és az OS X 10.10.5 legújabb bétaverzióiban van, még nem az OS X 10.11-ben.
