Цей подвиг виявлений компанією Malwarebytes, однією з найбільш авторитетних з точки зору досліджень шкідливого програмного забезпечення, йдеться у заяві виявив програму встановлення шкідливих програм які скористалися б новими функціями реєстрації помилок, представленими в останній версії OS X.
Зокрема, ви отримаєте дозволи на кореневому рівні, змінивши файл конфігурації sudoers відповідного Mac, залишаючи його незахищеним і відкритим встановити рекламні програми, такі як VSearch, варіанти Genieo та MacKeeper.
Буквальні висловлення Malwarebytes залишаємо нижче:
Як видно з показаного тут фрагмента коду, сценарій вибухає вразливість DYLD_PRINT_TO_FILE який записує у файл, а потім виконує його. Частина модифікації видаляється, коли вона щойно записана у файл.
Основна частина цієї модифікації полягає у файлі sudoers. Сценарій вносить зміни, які дозволяють виконувати команди оболонки як root за допомогою sudo, без звичайної вимоги вводити пароль.
Потім скрипт використовує нову поведінку sudo без пароля для запуску програми VSInstaller, знайденої у прихованому каталозі в образі диска інсталятора, надаючи йому права суперкористувача і, отже, можливість встановлювати що завгодно де завгодно. (Ця програма відповідає за встановлення рекламного програмного забезпечення VSearch.)
Ars Technica вперше повідомив про цю помилку, виявлену дослідник Штефан Ессер минулого тижня, заявивши, що розробники не змогли використовувати стандартні протоколи безпеки OS X із dyld. Ессер заявив, що вразливість присутня в поточній версії Apple OS X 10.10.4 і в останніх бета-версіях OS X 10.10.5, а не в ОС X 10.11.
