Güvenlik araştırmacıları, Apple’ın macOS işletim sisteminde, Apple’ın güvenlik önlemlerini aşabilecek şekilde kötü amaçlı uygulamaları çalıştırmak için potansiyel olarak istismar edilebilecek, şu anda ele alınan bir güvenlik açığıyla ilgili ayrıntıları paylaştı.
CVE-2022-32910 olarak izlenen güvenlik açığı, yerleşik Arşiv Yardımcı Programında yer alıyor ve “özel hazırlanmış bir arşiv kullanılarak, imzasız ve noter onaylı olmayan bir uygulamanın, kullanıcıya güvenlik istemleri görüntülemeden yürütülmesine neden olabilir”, Apple Cihaz yönetimi firması Jamf bir analizde söyledi.
31 Mayıs 2022’deki sorumlu açıklamanın ardından Apple, sorunu 20 Temmuz 2022’de yayınlanan macOS Big Sur 11.6.8 ve Monterey 12.5’in bir parçası olarak ele aldı. Teknoloji devi, Ekim ayı itibarıyla daha önce yayınlanan tavsiyeleri de revize etti. 4 kusur için bir giriş eklemek için.
Apple, hatayı, bir arşiv dosyasının işletim sisteminde yalnızca güvenilir yazılımın çalışmasını sağlamak için tasarlanmış Gatekeeper kontrollerini aşmasına izin verebilecek bir mantık sorunu olarak tanımladı.
Güvenlik teknolojisi, indirilen paketin yasal bir geliştiriciden geldiğini ve Apple tarafından noter tasdikli olduğunu doğrulayarak bunu başarır – yani, kötü niyetli olarak kurcalanmadığından emin olmak için bir onay damgası verilir.
Apple, destek belgelerinde, “Gatekeeper ayrıca, indirilen yazılımı ilk kez açmadan önce, kullanıcının yalnızca bir veri dosyası olduğuna inandıkları yürütülebilir kodu çalıştırmaya kandırılmadığından emin olmak için kullanıcı onayını ister” diyor.
Ayrıca internetten indirilen arşiv dosyalarının, yürütmeden önce bir Gatekeeper kontrolünü tetiklemek için dosya içindeki öğeler de dahil olmak üzere “com.apple.quarantine” genişletilmiş özniteliği ile etiketlendiğini belirtmekte fayda var.
Ancak Jamf tarafından keşfedilen tuhaf bir tuhaflıkla, Arşiv Yardımcı Programı, “kök dizininde iki veya daha fazla dosya veya klasör içeren bir arşivi çıkarırken” bir klasöre karantina özelliğini ekleyemiyor.
Bu nedenle, “exploit.app.zip” uzantılı bir arşiv dosyası oluşturarak, arşivden çıkarma işleminin “exploit.app” adlı bir klasörün oluşturulmasıyla sonuçlandığı ve aynı zamanda karantina özelliğinin bulunmadığı bir senaryoya yol açar.
Hatayı keşfeden Jamf araştırmacısı Ferdous Saljooki, bu uygulamanın “noter tasdiksiz ve/veya imzasız bir ikili programın yürütülmesine izin veren tüm Gatekeeper kontrollerini atlayacak” dedi. Apple, güvenlik açığını geliştirilmiş kontrollerle çözdüğünü söyledi.
Bulgular, Apple’ın macOS Catalina, Big Sur 11.6.5 ve Monterey 12.3’te (CVE-2022-22616) kötü niyetli bir ZIP arşivinin Gatekeeper kontrollerini atlamasına izin verebilecek benzer bir başka kusuru ele almasından altı aydan fazla bir süre sonra geldi.