В антивирусе для macOS найдена и исправлена уязвимость, позволявшая обходить защиту ядра и запускать вредоносный код. «Баг» был исправлен еще в июле.При условии равенства

Антивирус для macOS Webroot SecureAnywhere содержал баг, позволявший запускать вредоносное ПО на уровне ядра операционной системы, то есть, ниже уровня root.

Как выяснили эксперты компании Trustwave, SecureAnywhere может считывать и записывать значения произвольного указателя, заданные пользователем. Таким образом, появляется возможность вписывать что-либо в ядро «при условии, что изначальная величина в памяти, на которую ссылается указатель, должна быть равна (int) -1».

Техническое описание проблемы доступно по ссылке.

На практике это означает возможность локального повышения привилегий — при определенных условиях. Успешная атака также позволит обходить защитный механизм KASLR (рандомизация адреса ядра) на всех версиях OS X и macOS, которые поддерживаются SecureAnywhere.

Исправлено. Число, подпись

Разработчики SecureAnywhere выпустили исправления еще в июле 2018 г. в версии 9.0.8.34. В своей публикации Webroot также указывают на то, что никаких сведений об эксплуатации выявленной уязвимости у них нет.

В антивирусе для macOS найдена «дыра», позволявшая обходить защиту ядра и запускать вредоносный код

Публикация Trustwave «запоздала» почти на два месяца; сами эксперты по безопасности объяснили это тем, что им требовалось время на то, чтобы собрать и адекватно структурировать все технические данные.

«Данную уязвимость очень непросто эксплуатировать в принципе, и не только потому, что потенциальному злоумышленнику требуется локальный доступ к уязвимой машине, — считает Михаил Зайцев, эксперт по безопасности компании SEC Consult Services. — Однако сбрасывать ее со счетов не стоит. Получить «локальный доступ» можно с помощью социальной инженерии или с помощью вредоносного ПО, которое может эксплуатировать уязвимости в других программах в системе. А вредонос на уровне ядра — это почти идеальный инструмент для кибершпионажа».

Источник