Непропатченная уязвимость актуальной версии macOS позволяет взломщику скрытно выполнить сторонний код в системе. Проблема связана с работой утилиты Gatekeeper, которая проверяет код запускаемых приложений и блокирует нелегитимные программы.

Об угрозе сообщил эксперт компании Segment Филиппо Кавалларин (Filippo Cavallarin). Он представил сценарий атаки, построенный на двух функциях macOS: автоматическое открытие содержимого в сетевых хранилищах и работа с так называемыми символьными ссылками (symbolic links), которые могут открывать другие файлы. Исследователь подчеркнул, что если такой объект находится в ZIP-архиве, система не проверяет его перед исполнением.

Как пояснил Кавалларин, Gatekeeper по умолчанию считает безопасными все внешние накопители и сетевые расположения. Таким образом, пользователь может свободно запускать содержащиеся там приложения. Злоумышленнику достаточно создать архив, в котором будет символьная ссылка на вредоносный объект с некоего сетевого ресурса. Если жертва откроет этот файл, на его компьютере будет выполнен нежелательный код.

В видеодемонстрации эксплойта Кавалларин модифицировал файлы «Калькулятора», добавив в них bash-скрипт, который запускал различные исполняемые файлы. Эксперт также смог изменить иконку «Калькулятора».

Эксперт сообщил Apple об уязвимости 22 февраля, однако с 15 мая разработчики перестали отвечать ему на письма. По истечении традиционных 90 дней Каваллерин решил опубликовать информацию.

Чтобы защититься от атак, пользователям следует вручную отключить автоматическое монтирование сетевых расположений:

  1. Открыть для редактирования /etc/auto_master (необходим root-доступ).
  2. Прокомментировать строчку, которая начинается с /net.
  3. Перезагрузить компьютер.

Последний на данный момент пакет патчей Apple вышел 15 мая. Он включал исправление другой ошибки, которая также позволяла приложениям обходить встроенные проверки Gatekeeper.

Категории: Главное, Уязвимости