近日，来自安全公司OktaRex的研究专家JoshPitts在macOS的代码签名机制中发觉了一个可以借助的安全漏洞。这个漏洞潜伏了一年之久在线签名设计软件，它容许功击者将恶意的不受信任的代码伪装成受信任的合法代码，并绕开多款macOS安全产品的测量，其中包括、F-、、Santa和。

实际上，代码签名功击并不是一种新型的功击技术，按照Pitts明日发布的漏洞披露信息：这些技术跟之前的代码功击形式有所不同，这次的漏洞并不须要管理员访问权、JITíing代码和显存崩溃便就能绕开代码签名检查。功击者只须要借助一种专门制做的Fat/文件就才能让macOS的代码签名功能返回有效的值，自2005年以后（OSX）发布的苹果操作系统都将遭到该漏洞的影响。

代码签名机制是一种对抗恶意软件的重要装备，它还能帮助用户辨识已签名App的真实身分，并验证目标应用是否被非法篡改过。代码签名机制基于密码学方式来判定代码的真实性在线签名设计软件，并避免功击者将恶意代码伪装成合法代码。

Pitts解释称：“网络安全、事件响应、信息取证以及个人用户都可以通过代码签名来分辨合法代码以及恶意代码，而且macOS系统中的代码签名机制是可以被篡改的。首先，功击者须要访问一个已签名的合法Fat/格式文件，该文件中第一个Mach-O是经过苹果验证的，其次添加的恶意代码必须依照目标macOS的构架（i386、或PPC）进行编译。最后，Fat文件头中的CPU-TYPE必须设置为为无效类型，或则设置为跟目标主机芯片不同的CPU类型。”

OktaRex在接受的专访时表示，这项技术可以成功绕开由苹果根证书签名的白名单、事件响应和进程保护方案。功击者一旦成功借助该漏洞，她们将才能访问到目标主机中储存的用户个人数据、财务数据和其他敏感信息。

实际上，OktaRex早在2018年2月22日就早已跟苹果公司取得了联系，并递交了相应的漏洞PoC样本，但按照苹果当时的回应，她们并不觉得这是一个严重的安全问题。其实了，OktaRex肯定不是这样觉得的。OktaRex觉得苹果应该提醒第三方产品的开发人员，好让她们自行修补相关问题。不过直至去年的六月份苹果才通知到所有受影响的厂商，其中包括、、、、F-、-See、Yelp和。

受影响的产品列表（包含CVE）

VirusTotal(CVE-2018-10408)
Google—Santa,molcodesignchecker (CVE-2018-10405)
Facebook—OSQuery(CVE-2018-6336)
ObjectiveDevelopment—LittleSnitch (CVE-2018-10470)
F-Secure—xFenceand LittleFlocker (CVE-2018-10403)
Objective-See—WhatsYourSign,ProcInfo, KnockKnock, LuLu, TaskExplorer 及其他(CVE-2018-10404)
Yelp—OSXCollector(CVE-2018-10406)
CarbonBlack—Cb Response (CVE-2018-10407)

假如你正在使用的产品出现在了上述列表中，我们建议尽早更新你所使用的产品，假如没有可用更新，请及时更换使用其他防护产品。

*参考来源：、，FB小编编译，转载请标明来自.COM