据 TheHackerNews 12 月 24 日报道，苹果最近修补了 macOS 操作系统中的一个安全漏洞，攻击者可以利用该漏洞“轻松”绕过“macOS 无数的基本安全机制”并运行任意代码。

安全研究员帕特里克·沃德尔上周在一系列推文中详细介绍了这一发现。 该漏洞编号为 CVE-2021-30853（CVSS 评分：5.5），据称与恶意 macOS 应用程序可能绕过 Gatekeeper 检测的场景有关。 最初，此检查是为了确保只有受信任的应用程序才能运行，并且要“受信任”，应用程序必须经过称为“应用程序公证”的手动过程。

Apple 表示，Box 的 Gordon Long 报告了该漏洞，并表示该公司在即将于 2021 年 9 月 20 日发布的 macOS 11.6 更新中通过改进检测来解决该漏洞。

Wardle 在一份有关该漏洞的技术报告中表示：“此类漏洞通常会对 macOS 用户产生很大影响，因为它们为广告软件和恶意软件攻击者提供了绕过 macOS 安全机制的方法……这将阻止该恶意软件的进一步传播。”

具体来说，除了绕过“门卫”之外，该漏洞还绕过了文件隔离和 macOS 的公证要求，有效地允许看似无害的 PDF 文件只需打开它即可危及整个系统。 Wardle 表示，问题的症结在于，未签名、未公证的基于脚本的应用程序很难显式指定类库，从而导致其完美绕过。

值得注意的是，#!/bin/sh 或 #!/bin/bash 等 shebang 类库指令一般用于解析和解释 shell 程序。 但在这些边缘漏洞中，攻击者可以制作一个包含 shebang 行的应用程序，而无需提供类库（即#！）检测网站漏洞软件，但仍然让底层操作系统在没有任何警报的情况下启动脚本。

Wardle 解释说，这是由于“macOS 将（重新）尝试通过 shell ('/bin/sh') 执行失败的 [‘无解释器’基于脚本的应用程序]”。

换句话说，攻击者可以通过欺骗目标打开恶意应用程序来利用此漏洞，该应用程序可以伪装成合法应用程序（例如 Adob​​e Flash Player 更新或 Microsoft Office）的特洛伊木马版本。

这并不是 Gatekeeper 程序中发现的第一个漏洞。 明年 4 月初，苹果迅速修复了当时被积极利用的零日漏洞（CVE-2021-30657），该漏洞可以绕过所有安全保护，从而允许未经批准的软件在 Mac 上运行。

随后在 10 月份，谷歌披露了一个名为“Shrootless”（CVE-2021-30892）的漏洞，该漏洞可用于执行任意操作、提升 root 权限以及在受感染的设备上安装 rootkit。 苹果表示，已对该漏洞采取了额外限制检测网站漏洞软件，并在 2021 年 10 月 26 日推送的安全更新中解决了该问题。

参考来源