חור חדש ב- MacOS: Libaplearchive מאפשר לך להסתובב בשומר הסף

אפל קיבלה שוב את החדשות בגלל זמן הפגיעות שלה בספריה Libapplearchive שלה, נהגה לעבוד עם מסמכי ארכיב. AAR. החוקר סנולי קפברט מצא מרחק חשוב (CVE-2024-27876, CVSS 8.1), ומאפשר לא רק להקליט קבצים בעמדות דיסק שרירותיות, אלא גם להתעלם משומר הסף.

הכל התחיל בעובדה ש- Keffababer כתב ניתוח תחביר משלו – libneoaplearchive – כדי ללמוד את התנהגות האחסון של אפל בלינוקס.

בעבודה עם ההיגיון של טיפול סימולטני, הוא הבחין במוזר: ניתן לחלץ את הארכיונים כך שאחד מקבצי הפלט התברר כ … סימלקה בכל תיקיה אחרת במערכת.

הניסויים הבאים מראים כי בתהליך החילוץ יש "מצב גזעי). הספרייה בודקת תחילה אם מדריך התיקיה הרצויה, ורק אז מנסה ליצור אותה.

אם בשלב זה שים סימלינק על תיקיה אחרת, LibAppLearchive עדיין יחשוב שהתיק נוצר וימשיך לכתוב את הקבצים שם. לפיכך, הנתונים ייפלו לכתובת המיועדת על ידי סימלינק – לחלוטין בשליטת התוקף.

על ידי חזרה על המבנה מ- SIMS וקבצים באחסון פעמים רבות, Keffaber הגדיל משמעותית את אחוז ההצלחה של ההתקפה.

הוא לא עצר שם: המטרה הבאה הייתה להתעלם משומר הסף. מתברר, כלי האחסון הסטנדרטי הראשון פרש את הקבצים לתיקיה הזמנית ורק אז תלה עליהם את סימני ההסגר. אם בעזרת הפער, הכוח של Libapplearchive לחלץ את הקובץ מחוץ לתיקיה זו, הוא יסתובב בהסגר ויוכל להתחיל ללא אזהרה – כמובן שזה מסוכן מאוד.

הפער לא רק משפיע על MacOS. LibAppLearchive משמש בעבודה (קיצור דרך), FlexMusickit, Clipservice, כמו גם בקבצי iOS, יכולים גם לחלץ .AAR. אפילו כאשר כלולים במבחני ניטור כמו Pathisvalid (), המירוץ עדיין מאפשר להם לנסוע.

Keffaber פרסם את POC, והוכיח שההתקפה די מציאותית, אם כי היא דורשת ידע על פרטים כמו $ TMPDIR.

אפל סגרה פער בעדכונים חדשים, ולכן עדכוני חירום – הפער הוא רציני והניצול זמין באופן מקוון.