Güvenlik araştırmacıları, Apple’ın macOS işletim sisteminde, Apple’ın güvenlik önlemlerini aşabilecek şekilde kötü amaçlı uygulamaları çalıştırmak için potansiyel olarak istismar edilebilecek, şu anda ele alınan bir güvenlik açığıyla ilgili ayrıntıları paylaştı.
Güvenlik açığı, şu şekilde izlendi: CVE-2022-32910yerleşik Arşiv Yardımcı Programında kök salmıştır ve “özel hazırlanmış bir arşiv kullanılarak, kullanıcıya güvenlik istemleri gösterilmeden imzasız ve noter tasdiksiz bir uygulamanın yürütülmesine yol açabilir”, Apple cihaz yönetim firması reçel bir analizde söyledi.
31 Mayıs 2022’deki sorumlu açıklamanın ardından Apple, konuyu şuranın bir parçası olarak ele aldı: macOS Big Sur 11.6.8 ve Monterey 12.5 20 Temmuz 2022’de yayınlandı. Teknoloji devi, kusur için bir giriş eklemek için 4 Ekim itibariyle daha önce yayınlanan tavsiyeleri de revize etti.
Apple, hatayı, bir arşiv dosyasının işletim sisteminde yalnızca güvenilir yazılımın çalışmasını sağlamak için tasarlanmış Gatekeeper kontrollerini aşmasına izin verebilecek bir mantık sorunu olarak tanımladı.
Güvenlik teknolojisi, indirilen paketin yasal bir geliştiriciden geldiğini ve Apple tarafından noter tasdikli olduğunu doğrulayarak bunu başarır – yani, kötü niyetli olarak kurcalanmadığından emin olmak için bir onay damgası verilir.
“Gatekeeper ayrıca, indirilen yazılımı ilk kez açmadan önce, kullanıcının yalnızca bir veri dosyası olduğuna inandıkları yürütülebilir kodu çalıştırmaya kandırılmadığından emin olmak için kullanıcı onayını istiyor,” Apple notlar destek belgelerinde.
Ayrıca internetten indirilen arşiv dosyalarının, yürütmeden önce bir Gatekeeper kontrolünü tetiklemek için dosya içindeki öğeler de dahil olmak üzere “com.apple.quarantine” genişletilmiş özniteliği ile etiketlendiğini belirtmekte fayda var.
Ancak Jamf tarafından keşfedilen tuhaf bir tuhaflıkla, Arşiv Yardımcı Programı, “kök dizininde iki veya daha fazla dosya veya klasör içeren bir arşivi çıkarırken” bir klasöre karantina özelliğini ekleyemiyor.
Bu nedenle, “exploit.app.zip” uzantılı bir arşiv dosyası oluşturarak, arşivden çıkarma işleminin “exploit.app” adlı bir klasörün oluşturulmasıyla sonuçlandığı ve aynı zamanda karantina özelliğinin bulunmadığı bir senaryoya yol açar.
Hatayı keşfeden Jamf araştırmacısı Ferdous Saljooki, bu uygulamanın “noter tasdiksiz ve/veya imzasız bir ikili programın yürütülmesine izin veren tüm Gatekeeper kontrollerini atlayacak” dedi. Apple, güvenlik açığını geliştirilmiş kontrollerle çözdüğünü söyledi.
Bulgular, Apple’ın ele alınmasından altı ay sonra geldi başka bir benzer kusur macOS Catalina, Big Sur 11.6.5 ve Monterey 12.3’te (CVE-2022-22616) bu, kötü amaçlı bir ZIP arşivinin Gatekeeper kontrollerini atlamasına izin verebilir.