Исследователи Google Project Zero, как всегда, придерживаются «правила 90 дней». Еще в ноябре 2018 года они обнаружили опасную проблему в macOS, связанную с копированием при записи (copy-on-write, COW). Так как спустя 90 дней инженеры Apple по-прежнему не выпустили патч, исследователи опубликовали информацию о неисправленном баге, который получил имя BuggyCOW, а также код proof-of-concept эксплоита для него.
Проблема была найдена в ядре macOS XNU и фактически позволяет атакующему обойти защиту, реализованную в COW имплементации Apple и манипулировать смонтированным образом файловой системы, о чем виртуальная подсистема в итоге «не знает».
«Механизм copy-on-write работает не только с “анонимной” памятью, но и с маппингом файлов. В итоге атакующий может изменять файлы на диске, не информируя об этом виртуальную подсистему, что является проблемой безопасности. MacOS позволяет обычному пользователю монтировать образы файловой системы. Когда смонтированный образ файловой системы изменяется напрямую (например, через использование вызова pwrite()), эта информация не распространяется на смонтированную файловою систему», — объясняют исследователи.
Стоит отметить, что у эксплуатации бага есть ряд очевидных ограничений. По сути, уязвимость лишь позволяет повысить привилегии на уязвимой машине, однако для этого Mac сначала нужно заразить малварью, а потом злоумышленнику понадобится приложение с высокими привилегиями, которое держит данные не в памяти, а на жестком диске.
