Исследовательская группа Microsoft 365 Defender сообщила Apple об уязвимости, получившей название Shrootless (теперь отслеживаемой как CVE-2021-30892), через исследование Microsoft Security Vulnerability Research (MSVR).
SIP (также известный как rootless) - это технология безопасности macOS, которая блокирует изменение защищенных папок и файлов потенциально вредоносным программным обеспечением, ограничивая учетную запись пользователя root и ограничивая действия, которые она может выполнять в защищенных частях ОС.
По умолчанию SIP позволяет изменять эти защищенные части macOS только процессам, подписанным Apple или имеющим особые права (например, обновления программного обеспечения Apple и установщики Apple).
Проблема безопасности Shrootless была обнаружена исследователями Microsoft после того, как они заметили, что баг system_installd имеет право com.apple.rootless.install.inheritable, которое позволяет любому дочернему процессу полностью обходить ограничения файловой системы SIP.
