Ta podvig je bil odkrit Malwarebytes, enega najuglednejših podjetij na področju raziskav zlonamerne programske opreme, v izjavi navaja, da odkril namestitveni program za zlonamerno programsko opremo ki bi izkoristile nove funkcije zapisovanja napak, predstavljene v najnovejši različici OS X.
Natančneje, dobili bi dovoljenja na korenski ravni s spreminjanjem konfiguracijske datoteke sudoers zadevnega Maca, tako da ostane nezaščiten in odprt namestiti oglaševalsko programsko opremo, kot so VSearch, različice Genieo in MacKeeper.
Spodaj puščamo dobesedne izjave Malwarebytes:
Kot lahko vidite iz tukaj prikazanega delčka kode, skript eksplodira ranljivost DYLD_PRINT_TO_FILE ki piše v datoteko in jo nato izvrši. Del spremembe se odstrani, ko je zapisovanje v datoteko končano.
Temeljni del te spremembe je v datoteki sudoers. Skript naredi spremembo, ki omogoča zagon ukazov lupine kot root z uporabo sudo, brez običajne zahteve za vnos gesla.
Skript nato s pomočjo novega sudovega vedenja sudo zažene aplikacijo VSInstaller, ki jo najdemo v skritem imeniku na podobi diska namestitvenega programa in ji damo dovoljenja superuporabnika in s tem možnost, da kar koli namestimo kjer koli. (Ta aplikacija je odgovorna za namestitev oglaševalske programske opreme VSearch.)
Ars Technica je prvič poročal o tej napaki, ki jo je odkril raziskovalec Stefan Esser prejšnji teden, češ da razvijalci niso mogli uporabljati standardnih varnostnih protokolov OS X z dyld. Esser je dejal, da je ranljivost prisotna v Appleovi trenutni različici OS X 10.10.4 in v najnovejših beta različicah OS X 10.10.5, ne pa že v OS X 10.11.
