Apple a corrigé une vulnérabilité (surnommée Achilles et sous le nom de CVE-2022-42821) que les attaquants pouvaient exploiter pour déployer des logiciels malveillants sur des appareils macOS vulnérables via des applications non fiables capables de contourner les restrictions d'exécution des applications Gatekeeper.

Gatekeeper est une fonctionnalité de sécurité de macOS qui vérifie automatiquement toutes les applications téléchargées depuis Internet si elles sont notariées et signées par Apple, en demandant à l'utilisateur de confirmer avant de lancer ou en émettant une alerte indiquant que l'application n'est pas fiable.

Pour ce faire, il vérifie un attribut étendu nommé com.apple.quarantine qui est attribué par les navigateurs web à tous les fichiers téléchargés.

La faille d'Achille permet à des charges utiles spécialement conçues d'abuser d'un problème de logique pour définir des autorisations ACL (Access Control List) restrictives qui empêchent les navigateurs Web et les téléchargeurs Internet de définir l'attribut com.apple.quarantine pour le téléchargement des charges utiles archivées sous forme de fichiers ZIP.

En conséquence, l'application malveillante contenue dans la charge utile archivée se lance sur le système de la cible au lieu d'être bloquée par Gatekeeper, ce qui permet aux attaquants de télécharger et de déployer des logiciels malveillants.

Apple a corrigé le bogue dans macOS 13 (Ventura), macOS 12.6.2 (Monterey) et macOS 1.7.2 (Big Sur).