Эксперт "Лаборатории Касперского" проанализировал угрозы, направленные на платформу MacOS X, и сделал вывод, что она до сих пор остается более безопасной, чем другие операционные системы.

"Лаборатория Касперского" опубликовала аналитическую статью о развитии вредоносных программ для MacOS X. Статья называется "Развитие вредоносных программ: уязвимости в MacOS X". В материале, автором которого является аналитик Клаудиу Думитру, рассматриваются уязвимости, обнаруженные в операционной системе MacOS X в первой половине 2006 года, и дается их сравнение с уязвимостями, найденными за аналогичный период 2005 года.

По мнению Клаудиу Думитру, стандартные компьютеры, работающие под управлением MacOS X, безопаснее тех, в основе которых лежат другие платформы. В MacOS X использована концепция безопасности, аналогичная принятой в системах *nix. Система по умолчанию настроена таким образом, чтобы обеспечить защиту от угроз, которым подвержены другие платформы, не использующие подобного подхода к обеспечению безопасности.

При разработке MacOS X соображения безопасности с самого начала играли важную роль, считает автор статьи. Несмотря на то что при таком подходе в защите системы остается намного меньше брешей, было бы опасно считать, что проблем с безопасностью нет вовсе. Как и любая другая операционная система, MacOS X содержит программные ошибки. Они неизбежно привлекают к себе внимание злоумышленников, особенно когда пользователи не считают необходимым принимать меры для защиты от возможных угроз.

Число уязвимостей, обнаруженных в компонентах MacOS X, на которые возможны удаленные атаки, выросло в сравнении с тем же периодом предыдущего года. Это показывает, что возможность атаки на компьютеры по управлением MacOS X вызывают все больший интерес вирусописателей.

Число уязвимостей, найденных в ядре операционной системы MacOS X и системных компонентах, уменьшилось по сравнению с 2005 годом. При этом в браузере Safari и почтовом приложении Mail число уязвимостей, которые можно использовать для осуществления атаки через интернет, увеличилось. То же можно сказать и про QuickTime - приложение, ставшее в первой половине 2006 года предметом постоянных дискуссий специалистов по безопасности.

Обнаружены уязвимости и в работающих под управлением MacOS X продуктах сторонних производителей. В эту категорию попадают программы, по умолчанию установленные в операционной системе, но не являющиеся составной частью MacOS X. Например, за этот период обнаружено несколько уязвимостей в продукте Sun - Java VM. Эти уязвимости затрагивают все операционные системы, в которых может работать Sun Java - не только MacOS X.

Число уязвимостей, найденных в ядре MacOS X (Mach) и связанных с ним компонентах, уменьшилось по сравнению с 2005 годом. И все же несколько критических уязвимостей было обнаружено. Вероятно, наибольшую популярность приобрел локальный эксплойт "passw" (основанный на неизвестной прежде, т.е. zero day уязвимости), продемонстрированный 3 февраля 2006 года, когда его использовали для взлома компьютера Дейва Шредера (Dave Schroeder) в рамках конкурса "rm-my-mac".

Существует относительно немного вредоносных программ, предназначенных для MacOS X, считает автор статьи. Сообщество пользователей Macintosh было застигнуто врасплох сообщением об обнаружении 13 февраля 2006 года первого червя для MacOS X, получившего название OSX/Leap.A. Это червь для систем мгновенного обмена сообщениями (IM-червь), способный также заражать приложения MacOS X. Однако вследствие того, что в коде червя содержится ошибка, зараженные приложения не могут быть запущены.

По всей видимости, автор вируса планировал реализовать функцию распространения червя через электронную почту, считает Клаудиу Думитру. Однако эта функция реализована не была. За исключением нарушения работы приложений при заражении (судя по всему, ненамеренного), никаких следов другого вредоносного функционала в коде червя обнаружено не было.

18 февраля 2006 года появился еще один червь для MacOS X - Inqtana, который распространяется через Bluetooth путем отправки запроса на обмен данными Object Exchange (OBEX) Push на компьютеры - потенциальные жертвы. Если пользователь принимает запрос, червь пытается воспользоваться уязвимостью Bluetooth File and Object Exchange Directory Traversal для получения доступа к папкам за пределами корня папки Bluetooth File and Object Exchange. Позже выяснилось, что червь Inqtana написан специалистом по информационной безопасности Кевином Финистером (Kevin Finisterre) в качестве концептуальной разработки.

21 февраля появились два эксплойта zero day, нацеленных на MacOS X. Exploit.OSX.Safari.a обнаружил Михаэль Лен (Michael Lehn), а Exploit.OSX.ScriptEx.a. - Кевин Финистер (Kevin Finisterre) - автор червя Inqtana. Exploit.OSX.Safari - эксплойт, использующий уязвимость в Safari - фирменном браузере компании Apple. Эта уязвимость состоит в возможности автоматического запуска вредоносных исполняемых файлов, содержащихся в загруженном из интернета ZIP-архиве. Эта уязвимость была исправлена в вышедшем обновлении Apple Security Update 2006-001.

Exploit.OSX.ScriptEx.a - эксплойт, использующий уязвимость в почтовом приложении Apple Mail в MacOS X. Эксплойт срабатывает в результате получения по электронной почте особого вложения. Сама уязвимость заключается в переполнении буфера, возникающем при парсинге компонента Real Name зашифрованного в стандарте MIME файла. При определенном размере и содержании Real Name возможно выполнение произвольного кода, что позволяет установить троянскую или иную вредоносную программу на компьютере-жертве или вообще установить полный контроль над ним. Эта уязвимость была снята выпуском обновления Apple Security Update 2006-002.

19 апреля специалист по информационной безопасности Том Феррис (Tom Ferris) объявил еще о шести уязвимостях zero day, позволяющих злоумышленнику обрушить систему на удаленном компьютере-жертве или установить над ней полный контроль.

В целом, за последние два года вредоносные программы прошли в своем развитии огромный путь, - пишет Клаудиу Думитру. Раньше большинство авторов вредоносных кодов стремились к известности, теперь же их интересует материальная выгода. Благодаря незначительной доле компании Apple на рынке персональных компьютеров Mac до недавнего времени не привлекал внимания авторов вредоносных программ. Однако нет никакого сомнения в том, что по мере роста популярности компьютеров от Apple станут появляться и новые вредоносные программы для этой платформы, считает автор доклада.

Несмотря на то что такие вредоносные программы, как IM-Worm.OSX.Leap.a и Worm.OSX.Inqtana.a, и такие эксплойты, как Exploit.OSX.Safari.a и Exploit.OSX.ScriptEx, создавались с концептуальными целями и не содержали вредоносных функций, они ясно показали, что MacOS X содержит уязвимости, способные привести к компрометации системы.