安全研究人员表示,攻击者正在利用Apple OS X当前版本最近公布的0day漏洞,在无需系统密码的情况下安装广告软件应用。
本月初,安全研究人员Stefan Esser公开披露了这个权限升级漏洞。它源于Apple在OS X 10.10推出的错误日志功能。在公布该漏洞之前,这名研究人员并未事先通知Apple。漏洞之所以存在是因为在为dyld动态连接器的新环境变量添加支 持时并没有采用标准的防护措施。也就是说攻击者能够以根权限打开或创建文件,而且它可存在于OS X文件系统的任何地方,即使是在正常情况下超过非超级用户界限的区域。
反恶意软件公司Malwarebytes的研究人员表示这个漏洞被一款恶意安装器所利用,并利用几款广告软件感染Mac。在无需用户交互的情况 下,Vsearch和Geneio广告软件及MacKeeper恶意软件、以及Download Shuttle文件下载器app被利用。
研究人员在发现安装器已经修改了sudoers配置文件之后发现了这个利用。Sudoers配置文件在UNIX等系统中决定谁可以获得超级用户许可,而且鉴于安全原因无法被标准用户访问。
Malwarebytes公司表示对sudoers的修改允许VSInstaller app通过运行shell脚本获取根许可,而无需输入密码。当脚本运行结束后,它会自行删除。脚本修改sudoers文件的方法是,脚本会允许shell 命令使用sudo以根权限执行,而无需任何密码。随后脚本会利用sudo无需新密码的行为推出VSInstaller app(位于安装器磁盘镜像的一个隐藏目录中)并给予其完全的root许可以及在任何地方安装任何东西的能力(这个app负责安装VSearch广告软 件)。
Esser早些时候公布称,整个缺陷存在于目前OS X 10.10.4版本的操作系统,不过10.10.5版本已修复。
Apple还未对10.10.5之前的OS X提供修复方案,这意味着用户只能通过Esser创建的缓解措施保护自己。Esser的行为被指提出了一些“关于道德及利益纠纷的严肃问题”。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士”。
安全研究人员表示,攻击者正在利用Apple OS X当前版本最近公布的0day漏洞,在无需系统密码的情况下安装广告软件应用。
本月初,安全研究人员Stefan Esser公开披露了这个权限升级漏洞。它源于Apple在OS X 10.10推出的错误日志功能。在公布该漏洞之前,这名研究人员并未事先通知Apple。漏洞之所以存在是因为在为dyld动态连接器的新环境变量添加支 持时并没有采用标准的防护措施。也就是说攻击者能够以根权限打开或创建文件,而且它可存在于OS X文件系统的任何地方,即使是在正常情况下超过非超级用户界限的区域。
反恶意软件公司Malwarebytes的研究人员表示这个漏洞被一款恶意安装器所利用,并利用几款广告软件感染Mac。在无需用户交互的情况 下,Vsearch和Geneio广告软件及MacKeeper恶意软件、以及Download Shuttle文件下载器app被利用。
研究人员在发现安装器已经修改了sudoers配置文件之后发现了这个利用。Sudoers配置文件在UNIX等系统中决定谁可以获得超级用户许可,而且鉴于安全原因无法被标准用户访问。
Malwarebytes公司表示对sudoers的修改允许VSInstaller app通过运行shell脚本获取根许可,而无需输入密码。当脚本运行结束后,它会自行删除。脚本修改sudoers文件的方法是,脚本会允许shell 命令使用sudo以根权限执行,而无需任何密码。随后脚本会利用sudo无需新密码的行为推出VSInstaller app(位于安装器磁盘镜像的一个隐藏目录中)并给予其完全的root许可以及在任何地方安装任何东西的能力(这个app负责安装VSearch广告软 件)。
Esser早些时候公布称,整个缺陷存在于目前OS X 10.10.4版本的操作系统,不过10.10.5版本已修复。
Apple还未对10.10.5之前的OS X提供修复方案,这意味着用户只能通过Esser创建的缓解措施保护自己。Esser的行为被指提出了一些“关于道德及利益纠纷的严肃问题”。