摘自:freebuf.com
5月7日,Mackeeper被发现存在严重的安全漏洞,在其处理URL的代码中存在远程代码执行漏洞,当用户访问被恶意构造的网页即可触发高危漏洞。
安全研究人员Braden Thomas发现了此漏洞,当用户访问恶意构造的网站的时候,几乎不需要做什么交互,就可以以最高系统权限Root执行任意代码,他还公布了POC(漏洞验证程序)来演示用户用Safari访问恶意构造的网站的时候可以执行任意代码,在POC中执行的代码是卸载MacKeeper。漏洞的原因是MacKeeper使用自定义URL结构执行命令的时候没有对输入数据做安全检查。
如果MacKeeper在正常操作的时候已经提示用户输入密码,那么在以root权限执行任意代码的时候是不会提示用户输入密码的。如果用户之前没有通过认证,那么MacKeeper会提示用户输入账号密码,然而,漏洞利用正是这些用户输入的字符,所以用户可能会感觉到漏洞利用的过程。
苹果允许OS X及iOS平台上的app自定义URL的结构,正常情况下,这种功能是用来自定义一些协议来执行指定操作(比如在iOS上点击一个电话号码的链接的时候,系统会询问用户是否要拨打电话,点击一个邮件地址的时候,系统会启动邮件APP) 苹果系统内置的APP在代码中明确告诉开发者需要对输入的自定义URL做安全检查,以防止在处理URL的时候出现异常。另外,苹果还在官方文档中指出对输入数据做安全检查的重要性。
由于这个0day在最新的MacKeeper(MacKeeper 3.4)中也存在,所以很多用户都受影响,在之前的一个报道中显示,有2千万的用户都受影响。MacKeeper用户应该立即更新到最新版本。默认情况下,MacKeeper会自动检查更新,当MacKeeper弹出升级提示的时候,点击ok就可以安装更新。