Eksploitasi ini ditemui oleh syarikat Malwarebytes, salah satu yang paling terkenal dari segi penyelidikan perisian berbahaya, menyatakan dalam satu kenyataan bahawa telah menemui pemasang perisian hasad yang akan memanfaatkan ciri pembalakan kesalahan baru yang diperkenalkan dalam versi terbaru OS X.
Secara khusus, anda akan mendapat izin tingkat root dengan mengubah fail konfigurasi sudoers dari Mac yang dimaksud, membiarkannya tidak dilindungi dan terbuka untuk memasang adware seperti VSearch, variasi Genieo, dan MacKeeper.
Kami meninggalkan pernyataan harfiah Malwarebytes di bawah:
Seperti yang anda lihat dari coretan kod yang ditunjukkan di sini, skrip meletup kerentanan DYLD_PRINT_TO_FILE yang menulis ke fail dan kemudian melaksanakannya. Sebahagian daripada pengubahsuaian dikeluarkan apabila selesai menulis ke fail.
Bahagian asas pengubahsuaian ini terletak pada fail sudoers. Skrip membuat perubahan yang memungkinkan perintah shell dijalankan sebagai root menggunakan sudo, tanpa syarat biasa untuk memasukkan kata laluan.
Skrip kemudian menggunakan tingkah laku tanpa kata sandi baru sudo untuk melancarkan aplikasi VSInstaller, yang terdapat di direktori tersembunyi pada gambar cakera pemasang, memberikannya izin pengguna dan dengan itu kemampuan untuk memasang apa sahaja di mana sahaja. (Aplikasi ini bertanggungjawab untuk pemasangan perisian iklan VSearch.)
Ars Technica pertama kali melaporkan tentang bug ini yang ditemui oleh penyelidik Stefan Esser minggu lalu, mengatakan bahawa pembangun tidak dapat menggunakan protokol keselamatan OS X standard dengan dyld. Esser mengatakan kerentanan terdapat pada versi OS X 10.10.4 terkini Apple dan dalam versi beta terbaru OS X 10.10.5, belum ada di OS X 10.11.
