Mac World

Что нужно знать об уязвимости DYLD_PRINT_TO_FILE в OS X Yosemite

Эксперт Адам Томас из Malwarebytes сообщил о том, что злоумышленники активно используют эксплоит для уязвимости DYLD_PRINT_TO_FILE. Новая переменная окружения в динамическом редакторе ссылок dyld позволяет открывать и изменять любые системные файлы на Mac без ввода пароля администратора. Брешь безопасности обнаружили в OS X Yosemite.

macbook-review-1

Эксперт нашел уязвимость, когда ему попался новый установщик рекламного ПО, сообщает Securitylab. В ходе тестирования рекламного ПО на машине под управлением OS X Yosemite Томас обратил внимание на то, что файл sudoers (скрытый файл Unix, определяющий, кому предоставлять права суперпользователя в командной оболочке Unix) был модифицирован. Уязвимость позволила рекламному ПО получить права суперпользователя без обязательного ввода пароля администратора.

Эксплуатирующий уязвимость DYLD_PRINT_TO_FILE скрипт записывается в файл и выполняется, после чего часть его удаляется. Скрипт запускает приложение VSInstaller, которое исследователь обнаружил в скрытой директории образа диска установщика рекламного ПО. Получив права суперпользователя, программа смогла загружать все что угодно.

Что касается VSInstaller, то данное приложение устанавливает рекламное ПО VSearch, вариант Genieo и MacKeeper. В итоге оно направляет пользователя на приложение Download Shuttle в Mac App Store.

macbook-review-3

Это плохие новости для Apple, которая уже некоторое время была осведомлена о наличии уязвимости. Несмотря на то, что Стефан Эссер опубликовал подробности о бреши в конце прошлого месяца, исследователь beist уведомил купертиновцев о проблеме несколькими месяцами ранее. Apple пока еще не решила этот вопрос.

5 комментариев

Написать комментарий