Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach występujących w dwóch aplikacjach na systemy macOS i koordynował proces ujawniania informacji.

Podatność CVE-2025-5255: Obecność uprawnienia com.apple.security.cs.allow-dyld-environment-variables oraz com.apple.security.cs.disable-library-validation w aplikacji Phoenix Code umożliwia podmianę dynamicznej biblioteki. Lokalny atakujący z dostępem do nieuprzywilejowanego konta z wykorzystaniem zmiennej środowiskowej DYLD_INSERT_LIBRARIES może wstrzyknąć kod, który wykona się w kontekście aplikacji, omijając w ten sposób system Transparency, Consent, and Control (TCC). Uruchomiony kod uzyskuje jedynie uprawnienia do zasobów wcześniej przyznanych przez użytkownika. Dostęp do pozostałych zasobów, wymaga interakcji użytkownika z systemowym monitem z prośbą o nadanie dostępu.

Podatność została usunięta w poprawce o skrócie: 0c75fb57f89d0b7d9b180026bc2624b7dcf807da

Podatność CVE-2025-5963: Obecność uprawnienia com.apple.security.cs.allow-dyld-environment-variables oraz com.apple.security.cs.disable-library-validation w aplikacji Postbox umożliwia podmianę dynamicznej biblioteki. Lokalny atakujący z dostępem do nieuprzywilejowanego konta z wykorzystaniem zmiennej środowiskowej DYLD_INSERT_LIBRARIES może wstrzyknąć kod, który wykona się w kontekście aplikacji, omijając w ten sposób system Transparency, Consent, and Control (TCC). Uruchomiony kod uzyskuje jedynie uprawnienia do zasobów wcześniej przyznanych przez użytkownika. Dostęp do pozostałych zasobów, wymaga interakcji użytkownika z systemowym monitem z prośbą o nadanie dostępu.

Firma odpowiedzialna za Postbox już nie istnieje, a oprogramowanie nie otrzyma potrzebnej aktualizacji. Postbox została przejęta przez firmę eM Client, która nie współpracowała z naszym zespołem w procesie koordynowanego ujawnienia podatności.

Podziękowania

Za zgłoszenia podatności dziękujemy Karolowi Mazurkowi z Afine.