Разработчики защитных решений для Mac годами подвергали пользователей опасности

image

Из-за ошибки в реализации механизма Apple для проверки цифровой подписи кода вредоносы могли обмануть антивирусы.

Пользователи компьютеров Apple годами подвергались опасности из-за уязвимости в защитных решениях сторонних производителей. Речь идет об ошибке в реализации механизма Apple для проверки цифровой подписи кода, в результате которой вредоносные программы могли обойти проверку безопасности и обмануть антивирусы.

Уязвимость затрагивает следующие продукты и сервисы: VirusTotal (CVE-2018-10408), Google Santa (CVE-2018-10405), Facebook OSQuery (CVE-2018-6336), Objective Development LittleSnitch (CVE-2018-10470), F-Secure xFence и LittleFlocker (CVE-2018-10403), Objective-See WhatsYourSign, ProcInfo, KnockKnock, LuLu, TaskExplorer и пр. (CVE-2018-10404), Yelp OSXCollector (CVE-2018-10406) и Carbon Black Cb Response (CVE-2018-10407).

Как выяснили специалисты компании Okta, с помощью специально сформированного Fat файла возможно обмануть механизм проверки цифрового кода в решениях и заставить их думать, что вредоносное ПО подписано Apple. Как отмечается, данная уязвимость затрагивает исключительно сторонние продукты, но не операционную систему MacOS.

Fat файл – исполняемый файл Mac, который может содержать несколько бинарных файлов, предназначенных для различных типов процессора. Таким образом один исполняемый файл может включать несколько версий одного и того же приложения для работы на системах с разными процессорными архитектурами. Проблема заключается в том, что многие сторонние приложения не проверяют каждый компонент Fat файла, ограничиваясь только первым бинарником, который подписан Apple, и доверяют остальным частям файла, даже вредоносным.

Исследователи проинформировали Apple о своей находке в марте нынешнего года, однако та не посчитала уязвимость проблемой безопасности, переложив вину на разработчиков. Okta также уведомила производителей. Компании Google , Facebook и F-Secure уже выпустили соответствующие обновления. Как считают исследователи, уязвимость может затрагивать не только вышеперечисленные продукты, но и многие другие приложения.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.