Антивірус для macOS Webroot SecureAnywhere містив баг, що дозволяв запускати шкідливе програмне забезпечення на рівні ядра операційної системи
Антивірус для macOS Webroot SecureAnywhere містив баг, що дозволяв запускати шкідливе програмне забезпечення на рівні ядра операційної системи
Антивірус для macOS Webroot SecureAnywhere містив баг, що дозволяв запускати шкідливе програмне забезпечення на рівні ядра операційної системи, тобто нижче рівня root.
Як з'ясували експерти компанії Trustwave, SecureAnywhere може зчитувати та записувати значення довільного покажчика, задані користувачем. Таким чином, з'являється можливість вписувати щось у ядро «за умови, що початкова величина в пам'яті, на яку посилається покажчик, повинна дорівнювати (int) -1».
Технічний опис проблеми доступний за посиланням.
На практиці це означає можливість локального підвищення привілеїв – за певних умов. Успішна атака також дозволить оминати захисний механізм KASLR (рандомізація адреси ядра) на всіх версіях OS X та macOS, які підтримуються SecureAnywhere.
Розробники SecureAnywhere випустили виправлення ще у липні 2018 р. у версії 9.0.8.34. У своїй публікації Webroot також вказують на те, що жодних відомостей про експлуатацію виявленої вразливості вони не мають.
Публікація Trustwave «запізнилася» майже на два місяці; самі експерти з безпеки пояснили це тим, що їм потрібен час на те, щоб зібрати та адекватно структурувати всі технічні дані.
«Цю вразливість дуже непросто експлуатувати в принципі, і не тільки тому, що потенційному зловмиснику потрібен локальний доступ до вразливої машини. Однак скидати її з рахунків не варто. Отримати «локальний доступ» можна за допомогою соціальної інженерії або за допомогою шкідливого ПЗ, яке може експлуатувати вразливості в інших програмах системі. А шкідливість на рівні ядра - це майже ідеальний інструмент для кібершпигунства».
