Компания Apple снова стала главной темой из-за уязвимости в своей библиотеке libAppleArchive, которая используется для работы с архивами .aar. Исследователь Снулли Кеффабер обнаружил серьезную проблему (CVE-2024-27876, CVSS 8.1), которая позволяет злоумышленнику записывать файлы в любое место на диске и обходить защиту Gatekeeper.
Кеффабер начал исследовать Apple Archive на Linux, написав свой собственный парсер — libNeoAppleArchive. Он заметил, что при распаковке архива можно создать симлинк на файл в любую директорию на системе.
Дальнейшие тесты показали, что в процессе распаковки возникает состояние гонки. Библиотека сначала проверяет существование нужной папки, а затем создает её. Если в это время создать симлинк на другую директорию, libAppleArchive будет считать, что папка уже создана и продолжит записывать файлы туда. Таким образом, данные будут попадать в место, на которое указывает симлинк, под управлением злоумышленника.
Кеффабер смог увеличить успешность атаки, повторяя структуру из симлинков и файлов в архиве. Затем он обнаружил, что можно обойти Gatekeeper. Archive Utility сначала распаковывает файлы во временную директорию, а затем применяет карантинные метки. Используя уязвимость, libAppleArchive может распаковывать файлы вне этой директории и обойти карантин, что представляет опасность.
Уязвимость затрагивает не только macOS, но и некоторые приложения на iOS, такие как WorkflowKit (Shortcuts), FlexMusicKit, ClipServices и приложение Файлы. Кеффабер опубликовал доказательство концепции, показывая, что атака реальна, хотя требует специфических знаний, таких как переменная $TMPDIR.
Apple уже исправила уязвимость в своих последних обновлениях, поэтому важно обновиться как можно скорее. Уязвимость серьезная, и эксплойт уже доступен в сети.
© KiberSec.ru – 25.04.2025, обновлено 25.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
