Брешь в Apple Gatekeeper делает уязвимыми все версии версии OS X


0-day yazvimostДиректор отдела исследований компании Synack нашел способ обхода компонента Apple Gatekeeper в OS X. Метод получил название Apple dylib hijacking и был представлен на конференции Virus Bulletin в Праге, Чехия.

Apple Gatekeeper - компонент в OS X, предназначенный для защиты пользователей от установки вредоносного или непроверенного ПО.

Напомним, Apple Gatekeeper перед запуском приложения выполняет ряд проверок. Зачастую Gatekeeper не позволяет запускать неподписанные приложения и программы, которые были загружены со сторонних источников вместо Mac App Store.

Эксперт утверждает, что при запуске проверка того, что приложение не запускает или загружает другие программы или библиотеки, не осуществляется. Если злоумышленнику получится убедить жертву загрузить подписанную инфицированную программу со стороннего магазина приложений, тогда он сможет загрузить вредоносную библиотеку через незащищенное HTTP-соединение.

Уордл в своем эксперименте использовал специально сформированные библиотеки Apple, упакованные в файл DMG. После этого он убедил другого исследователя запустить этот файл. Сразу после запуска DMG-файл искал вредоносный исполняемый файл и запускал его без ведома пользователя.

Продемонстрировав свой метод, исследователь заявил, что все без исключения версии OS X, включая OS X 10.11 El Capitan, уязвимы к данному методу атаки.

Компания Apple уже уведомлена об обнаруженной уязвимости, и в настоящее время занимается разработкой исправления.


Обновлено (02.10.2015 15:13)