Geçtiğimiz pazartesi, Dropbox ekibi, Apple macOS işletim sistemindeki üç önemli güvenlik açığının ortaya çıkarıldığını açıkladı [1]. Açıkları Apple altyapısı kullanan firmalara güvenlik hizmeti veren Syndis firması keşfetmiş durumda. Apple bu açıkları şubatta farketmiş ve 29 Mart’ta yama yayımlamıştı [2]. Ancak hep olduğu gibi, pek çok kullanıcının güncellemeleri tamamlamadığı raporlanıyor.
Bu 3 açık, bir saldırganın, kurbanını kötü amaçlı bir web sayfasını ziyaret etmeye ikna ederek, bilgisayarına sızma olanağı veriyor. DropBox’a göre, Syndis tarafından keşfedilen güvenlik açıkları sadece macOS işletim sistemini değil, aynı zamanda Safari web tarayıcısı ve işletim sisteminin en son sürümünü çalıştıran tüm kullanıcılarını da etkiledi.
Raporlanan 3 sıfırıncı gün güvenlik açığı şöyle sıralanıyor;
- MacOS’un CoreTypes bileşeninde bulunan ilk hata (CVE-2017-13890), Safari web tarayıcısının kötü amaçlı hazırlanmış bir web sayfası aracılığıyla ziyaretçilerin sistemindeki bir disk görüntüsünü otomatik olarak indirmesine ve bağlamasına izin verdi.
- İkinci kusur (CVE-2018-4176), Disk Görüntüleri, dizinler olarak paketlenmiş uygulamalar olan .bundle dosyalarını işleme biçiminde kalıyordu. Kusurdan istifade etmek, bir saldırganın bless ve onun –openfolder argümanı olarak adlandırılan bir önyüklenebilir birim yardımcı programını kullanarak takılı diskten kötü amaçlı bir uygulama başlatmasına izin verebilirdi.
- Üçüncü güvenlik açığı (CVE-2018-4175), macOS Gatekeeper virüs uygulamasının durdurulmasına, kötü niyetli bir uygulamanın kod imzalama ile bir Terminal uygulamasının değiştirilmiş bir sürümünü yürütmesine izin veriyor.
Saldırganlar, bu 3 açık ile 2 safhalı bir saldırı oluşturarak, kurbanlarının Mac bilgisayarını, Safari ile ziyaret ettikleri kötü amaçlı bir sayfa üzerinden ekle geçirebiliyor.
Dropbox yayınladığı açıklamada [1] şunları belirtiyor;
“İlk aşamada, terminal uygulamasının değiştirilmiş bir versiyonunu yeni bir dosya uzantısı (.workingpoc) ile kaydedilir. Ardından “openfolder” olarak tanımlanmış “test.bundle “adı verilen boş bir klasör, otomatik olarak /Applications/Terminal.app açılır. İkinci aşamada, imzasız bir “shellscript” kendi kendine çalışan terminal uygulamasında yürütülür.
Sorunu çözmek için aşağıda verdiğimiz Apple güncellemenin yüklenmesi lazım.
[1] Offensive testing to make Dropbox (and the world) a safer place