Šī ekspluatācija tika atklāta Malwarebytes, viens no cienījamākajiem uzņēmumiem ļaundabīgo programmu izpētes jomā, paziņojumā apgalvo, ka atklāja ļaunprātīgas programmatūras instalētāju kas izmantotu OS X jaunākajā versijā ieviesto jauno kļūdu reģistrēšanas funkciju priekšrocības.
Konkrēti, jūs saņemtu saknes līmeņa atļaujas, modificējot attiecīgā Mac sudoers konfigurācijas failu, atstājot to neaizsargātu un atvērtu instalēt tādu programmatūru kā VSearch, Genieo variācijas un MacKeeper.
Malwarebytes burtiskos paziņojumus mēs atstājam zemāk:
Kā redzat no šeit redzamā koda fragmenta, skripts eksplodē ievainojamība DYLD_PRINT_TO_FILE kas raksta failā un pēc tam to izpilda. Daļa modifikācijas tiek noņemta, kad tā ir pabeigusi rakstīšanu failā.
Šīs modifikācijas būtiskā daļa ir sudoers failā. Skripts veic izmaiņas, kas ļauj čaulas komandas palaist kā root, izmantojot sudo, bez parastās prasības ievadīt paroli.
Pēc tam skripts izmanto jauno sudo uzvedību, izmantojot paroli, lai palaistu VSInstaller lietojumprogrammu, kas atrodama slēptā direktorijā instalētāja diska attēlā, piešķirot tai superlietotāja atļaujas un tādējādi iespēju kaut ko instalēt jebkur. (Šī lietojumprogramma ir atbildīga par VSearch reklāmprogrammatūras instalēšanu.)
Ars Technica pirmo reizi ziņoja par šo kļūdu, kuru atklāja pētnieks Stefans Essers pagājušajā nedēļā, sakot, ka izstrādātāji nevarēja izmantot standarta OS X drošības protokolus ar dyld. Essers teica, ka ievainojamība ir Apple pašreizējā OS X 10.10.4 versijā un jaunākajās OS X 10.10.5 beta versijās, kas vēl nav OS X 10.11.
