Este exploit foi descoberto pela empresa Malwarebytes, uma das mais conceituadas em termos de pesquisa de software malicioso, afirma em comunicado que descobriu um instalador de malware que tiraria vantagem dos novos recursos de registro de erros introduzidos na versão mais recente do OS X.
Especificamente, você obteria permissões de nível raiz modificando o arquivo de configuração sudoers do Mac em questão, deixando-o desprotegido e aberto para instalar adware como VSearch, variações do Genieo e MacKeeper.
Deixamos a você as declarações literais de Malwarebytes abaixo:
Como você pode ver no trecho de código mostrado aqui, o script explode a vulnerabilidade DYLD_PRINT_TO_FILE que grava no arquivo e o executa. Parte da modificação é removida quando a gravação no arquivo é concluída.
A parte fundamental dessa modificação está no arquivo sudoers. O script faz uma alteração que permite que os comandos do shell sejam executados como root usando sudo, sem o requisito usual de inserir uma senha.
O script então usa o novo comportamento sem senha do sudo para iniciar o aplicativo VSInstaller, encontrado em um diretório oculto na imagem do disco do instalador, dando a ele permissões de superusuário e, portanto, a capacidade de instalar qualquer coisa em qualquer lugar. (Este aplicativo é responsável pela instalação do adware VSearch.)
A Ars Technica relatou pela primeira vez sobre este bug descoberto por pesquisador Stefan Esser na semana passada, dizendo que os desenvolvedores não conseguiam usar os protocolos de segurança padrão do OS X com o dyld. Esser disse que a vulnerabilidade está presente na versão atual do OS X 10.10.4 da Apple e nas recentes versões beta do OS X 10.10.5, ainda não no OS X 10.11.