Niemal dwa tygodnie temu pisaliśmy o luce odkrytej w OS X Yosemite, pozwalającej na bardzo łatwe uzyskanie dostępu do konta root, dającego kontrolę nad całym systemem operacyjnym. Odkrył ją i przedstawił przykład jej wykorzystania Stefan Esser. Wystarczyły niecałe dwa tygodnie, by w sieci pojawiła się złośliwa aplikacja z niej korzystająca.

Przypomnijmy, że luka znajduje się w dynamicznym łączniku dyld i pozwala na utworzenie plików i wykonanie znajdujących się w nich skryptów z uprawnieniami konta root bez potrzeby podawania hasła.

Jak donosi serwis Malwarebytes w internecie pojawił się exploit wykorzystujący tę lukę i instalujący na komputerze oprogramowanie typu adware (Vsearch, Genieo) oraz wersję MacKeepera, przekierowuje także użytkownika do strony programu Download Shuttle w Mac App Store. Zawarty w nim skrytp zmienia plik sudoers, co pozwala na wykonywanie z uprawnieniami root komend powłoki shell także bez podawania hasła.

Wspomnieć wypada, że problem nie dotyczy testowych wersji OS X El Capitan, a jedynie OS X Yosemite włącznie z ostatnią aktualizacją 10.10.4. Do czasu załatania tej luki przez Apple warto skorzystać z łatki przygotowanej przez Essera, dostępnej do pobrania z serwisu Github.

Źródło: Malwarebytes