在macOS12.0.1Monterey中,Apple修复了影响所有基于macOSAppKit的应用程序的进程注入漏洞(CVE-2021-30873)。进程注入是指一个进程能够执行另一个进程中的代码的能力。在Windows中,使用它的原因之一是逃避防病毒扫描程序的检测,例如称为DLL劫持的技术。此技术允许恶意代码伪装成不同可执行文件的一部分。在macOS中,由于两个应用程序的权限不同,此漏洞的影响要大得多。发现该漏洞的研究人员最近在Apple发布修复该漏洞的更新后对其进行了详细说明,描述了利用该漏洞逃避沙箱、提升root权限和绕过SIP文件系统限制的方法。研究人员还介绍了Apple修复此漏洞的方法。首先是修复逃逸沙箱,不再在com.apple.appkit.xpc.openAndSavePanelService中读取应用程序的保存状态(CVE-2021-30659)。至于其余的,修复更复杂,因为第三方应用程序可能会在保存状态下存储自己的对象,这可能不支持安全编码。这意味着如果应用程序继续允许非安全编码,那么进程注入可能仍然存在。从这个角度来说,macOS的安全设计是有问题的。由于应用程序的代码签名(以及权限)将长期有效,如果应用程序降级,应用程序的TCC权限仍然有效。非沙盒应用程序可以静默下载较旧的、易受攻击的应用程序版本并利用它。因此,只要向后兼容旧版macOS应用程序,此漏洞就会持续存在。本文转自OSCHINA文章标题:macOS12进程注入漏洞攻破所有安全层本文地址:https://www.oschina.net/news/206685/process-injection-breaking-all-macos-security-层
