Специалисты Trustwave SpiderLabs опубликовали подробности о локально эксплуатируемом баге в антивирусе Webroot SecureAnywhere для macOS. Данной уязвимости был присвоен идентификатор CVE-2018-16962. Хотя баг можно было использовать лишь локально, он приводит к выполнению вредоносного кода на уровне ядра, что даже хуже root-доступа, так что исследователи считают его весьма опасным.
Проблема представляет собой нарушение целостности информации в оперативной памяти, которое может быть спровоцировано через чтение или запись произвольного user-supplied указателя. В итоге атакующий получает возможность вписать что-либо в ядро, если оригинальное значение памяти, на которое указывает указатель, равно (int) -1
.
Для реализации такой атаки злоумышленнику либо понадобится самостоятельно залогиниться в уязвимый Mac, либо применить серьезную социальную инженерию и убедить пользователя загрузить и запустить эксплоит. Также для проникновения в систему может использоваться другая малварь, способная работать удаленно.
Исследователи пишут, что в настоящее время проблема уже была устранена, так как разработчики Webroot отреагировали на сообщение об уязвимости весьма оперативно. Пользователям macOS рекомендуется включить автообновления Webroot SecureAnywhere или вручную обновить антивирус до безопасной версии 9.0.8.34, вышедшей еще в конце июля 2018 года. Специалисты подчеркивают, что намеренно выждали почти два месяца после релиза патча, давая пользователям больше времени на установку обновления.