Bu istismar keşfedildi Kötü amaçlı yazılım araştırmaları açısından en saygın şirketlerden biri olan Malwarebytes şirketi tarafından yapılan açıklamada, bir kötü amaçlı yazılım yükleyicisi keşfetti OS X'in en son sürümünde sunulan yeni hata günlüğü özelliklerinden yararlanacaktır.
Özellikle, söz konusu Mac'in sudoers yapılandırma dosyasını değiştirerek kök düzeyinde izinler alırsınız, korumasız ve açık bırakarak VSearch, Genieo çeşitleri ve MacKeeper gibi reklam yazılımlarını yüklemek için.
Malwarebytes'in gerçek ifadelerini aşağıda bırakıyoruz:
Burada gösterilen kod parçacığından da görebileceğiniz gibi, komut dosyası patlıyor DYLD_PRINT_TO_FILE güvenlik açığı dosyaya yazar ve sonra onu çalıştırır. Değişikliğin bir kısmı dosyaya henüz yazıldığında kaldırılır.
Bu değişikliğin temel kısmı sudoers dosyasındadır. Komut dosyası, kabuk komutlarının sudo kullanılarak kök olarak çalıştırılmasına izin veren bir değişiklik yapar, her zamanki parola girme gereksinimi yoktur.
Komut dosyası daha sonra yükleyici disk görüntüsünde gizli bir dizinde bulunan VSInstaller uygulamasını başlatmak için sudo'nun yeni şifresiz davranışını kullanır ve ona süper kullanıcı izinleri ve böylece herhangi bir yere her şeyi yükleme yeteneği verir. (Bu uygulama, VSearch reklam yazılımının yüklenmesinden sorumludur.)
Ars Technica ilk olarak tarafından keşfedilen bu hatayı bildirdi araştırmacı Stefan Esser geçen hafta, geliştiricilerin dyld ile standart OS X güvenlik protokollerini kullanamadıklarını söyleyerek. Esser, güvenlik açığının Apple'ın mevcut OS X 10.10.4 sürümünde ve OS X 10.10.5'in son beta sürümlerinde mevcut olduğunu, OS X 10.11'de bulunmadığını söyledi.
