הנצל הזה התגלה על ידי חברת Malwarebytes, מהמוכרות ביותר מבחינת מחקר תוכנה זדונית, מצהירה בהצהרה כי גילה מתקין תוכנה זדונית אשר ינצלו את התכונות החדשות לרישום שגיאות שהוצגו בגירסה האחרונה של OS X.
באופן ספציפי, תקבל הרשאות ברמת השורש על ידי שינוי קובץ התצורה של sudoers של ה- Mac המדובר. משאיר אותו לא מוגן ופתוח להתקנת תוכנות פרסום כגון VSearch, וריאציות של Genieo ו- MacKeeper.
אנו משאירים את ההצהרות המילוליות של Malwarebytes להלן:
כפי שניתן לראות מקטע הקוד המוצג כאן, הסקריפט מתפוצץ את הפגיעות DYLD_PRINT_TO_FILE שכותב לקובץ ואז מבצע אותו. חלק מהשינוי יוסר לאחר שיסיים לכתוב לקובץ.
החלק המהותי בשינוי זה טמון בתיק הסודרים. התסריט מבצע שינוי המאפשר הפעלת פקודות מעטפת כשורש באמצעות sudo, ללא הדרישה הרגילה להזין סיסמה.
לאחר מכן, התסריט משתמש בהתנהגות החדשה ללא סיסמה של sudo להפעלת יישום VSInstaller, שנמצא בספריה נסתרת בתמונת דיסק ההתקנה, מה שמקנה לו הרשאות של משתמש-על ובכך יכולת להתקין כל דבר ובכל מקום. (יישום זה אחראי על ההתקנה של תוכנת הפרסום VSearch.)
ארס טכניקה דיווחה לראשונה על באג זה שהתגלה על ידי החוקר סטפן אסר בשבוע שעבר, ואמרו כי היזמים לא הצליחו להשתמש בפרוטוקולי אבטחה סטנדרטיים של OS X עם dyld. Esser אמר כי הפגיעות קיימת בגרסה הנוכחית של אפל ל- OS X 10.10.4 ובגרסאות הבטא האחרונות של OS X 10.10.5, עדיין לא ב- OS X 10.11.
