Компания Яндекс выпустила обновление для своего облачного клиента на платформе macOS, закрывшее критическую уязвимость, которая могла позволить злоумышленникам получить полный контроль над облачным хранилищем пользователя. Проблема, получившая идентификатор CVE-2025-5470, была исправлена в версии приложения 3.2.45.3275. До этого обновления вредоносное ПО, работающее на компьютере пользователя, могло использовать уязвимость для подмены системных библиотек и последующего получения несанкционированного доступа к аккаунту Яндекс Диска.
Детали уязвимости
Суть уязвимости заключалась в недостаточном контроле пути поиска исполняемых файлов и библиотек (DLL), известном как Uncontrolled Search Path Element (CWE-427). Технически, этот класс проблем позволяет провести атаку, называемую Search Order Hijacking или Hijack Load. В данном случае злоумышленник мог разместить специально созданную библиотеку (dylib) в определённом месте файловой системы. При запуске клиента Яндекс Диска операционная система macOS, следуя стандартному порядку поиска, загружала бы вредоносную библиотеку вместо легитимной. Таким образом, вредоносный код получал бы все привилегии запущенного приложения.
Эксплуатация этой уязвимости требовала выполнения ряда условий. Во-первых, злоумышленнику уже был необходим локальный доступ к операционной системе с правами обычного пользователя. Следовательно, атака не могла быть проведена удалённо через интернет. Однако, как только вредоносная программа оказывалась на компьютере, например, через фишинг или другую уловку, она могла использовать CVE-2025-5470 для эскалации привилегий и получения доступа к облачному хранилищу. Полезная нагрузка (payload) такой атаки могла варьироваться от кражи файлов до их шифрования с помощью программ-вымогателей (ransomware). Более того, злоумышленник мог обеспечить себе устойчивость (persistence) в системе, подменив критически важные компоненты клиента.
Согласно системе оценки CVSS (Common Vulnerability Scoring System) версии 4.0, уязвимость получила высокий балл 7.3. Ключевыми факторами такой оценки стали высокий уровень воздействия на конфиденциальность, целостность и доступность данных как в самой системе, так и в связанных с ней облачных сервисах. В то же время, сложность атаки (Attack Complexity) была оценена как высокая, поскольку для успешной эксплуатации требовалось предварительное внедрение в систему. Вектор атаки был определён как локальный (AV:L), что несколько снизило общий риск, но не устранило его полностью для скомпрометированных устройств.
Компания Яндекс оперативно отреагировала на обнаруженную проблему. Выпуск исправленной версии 3.2.45.3275 для клиента Яндекс Диска на macOS состоялся 9 декабря 2025 года. В тот же день информация об уязвимости была официально опубликована в международной базе данных CVE. Пользователям, которые ещё не обновили приложение, настоятельно рекомендуется сделать это как можно скорее через официальный сайт или встроенный механизм обновлений. Данный инцидент подчёркивает важность своевременного обновления не только операционной системы, но и всего установленного программного обеспечения, особенно клиентов облачных сервисов, которые работают с критически важными пользовательскими данными.
Это не первый случай, когда проблема подмены библиотек обнаруживается в клиентском программном обеспечении для macOS. Подобные уязвимости регулярно находят и в приложениях других крупных вендоров. Эксперты по кибербезопасности отмечают, что такие ошибки могут служить эффективным инструментом для продвинутых APT групп, которые уже получили первоначальный доступ к системе и стремятся расширить своё влияние. Поэтому своевременное применение исправлений является одним из базовых элементов защиты.
Для рядовых пользователей этот случай служит важным напоминанием. Во-первых, необходимо всегда скачивать приложения только из официальных и проверенных источников, таких как App Store или сайт разработчика. Во-вторых, следует обращать внимание на запросы прав доступа, которые запрашивают программы. Наконец, включение автоматических обновлений или их регулярная ручная проверка значительно снижают окно уязвимости, в течение которого устройство подвержено атаке. Облачные хранилища стали неотъемлемой частью цифровой жизни, и их безопасность напрямую зависит от состояния клиентских приложений на локальных устройствах.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-5470
- https://nvd.nist.gov/vuln/detail/CVE-2025-5470
- https://yandex.com/bugbounty/i/hall-of-fame-products
