ClearanceKit: Les binaires signés ad hoc peuvent usurper les identités de processus Apple dans la liste d'autorisation globale
Plateforme
macos
Composant
clearancekit
Corrigé dans
5.0.6
La vulnérabilité CVE-2026-40599 concerne ClearanceKit, un outil de sécurité pour macOS. Avant la version 5.0.5, une erreur de logique permet à un processus sans Team ID mais avec un Signing ID de se faire passer pour un binaire Apple. Cela permet à un logiciel malveillant d'accéder à des fichiers protégés. La version 5.0.5 corrige cette faille.
Impact et Scénarios d'Attaque
CVE-2026-40599 affecte ClearanceKit, un outil macOS qui contrôle l'accès au système de fichiers. La vulnérabilité réside dans une identification incorrecte des processus. Avant la version 5.0.5, ClearanceKit classifiait à tort les processus dépourvus d'un ID d'équipe (Team ID) mais possédant un ID de signature (Signing ID) comme binaires de la plateforme Apple. Cela permet à des logiciels malveillants de se faire passer pour un processus Apple légitime, en contournant les politiques d'accès et en obtenant un accès non autorisé aux fichiers protégés. L'impact est sévère, car un attaquant pourrait lire, modifier ou même supprimer des données sensibles protégées par ClearanceKit. L'absence d'un KEV (Vulnerability de l'extension du noyau) indique que la vulnérabilité n'est pas directement liée aux extensions du noyau, mais plutôt à la logique de ClearanceKit.
Contexte d'Exploitation
Un attaquant pourrait exploiter cette vulnérabilité en créant un programme malveillant qui ne possède pas d'ID d'équipe mais qui possède un ID de signature valide. Lors de l'exécution, ClearanceKit classerait ce programme à tort comme un binaire Apple, lui permettant de contourner les politiques d'accès et d'accéder aux fichiers protégés. La complexité de l'exploitation est relativement faible, car elle ne nécessite que la création d'un programme présentant les caractéristiques mentionnées. Le succès de l'exploitation dépend de la configuration de ClearanceKit et de la présence de fichiers protégés que l'attaquant souhaite accéder. La détection de cette activité peut être difficile, car le programme malveillant se déguise en un processus Apple légitime.
Qui Est à Risquetraduction en cours…
Users of macOS who rely on ClearanceKit for file access control are at risk, particularly those running older versions of ClearanceKit (prior to 5.0.5). This includes developers building applications that utilize ClearanceKit, as well as system administrators managing macOS environments. Shared hosting environments utilizing ClearanceKit for security are also vulnerable.
Étapes de Détectiontraduction en cours…
• macos / system:
ls -l /Library/LaunchDaemons | grep ClearanceKit• macos / system: Check for unusual file access events in system logs (Console.app) originating from processes with empty Team IDs.
• macos / system: Use sysctl to verify ClearanceKit version: sysctl com.clearancekit.version
• macos / system: Monitor for processes attempting to access protected files without proper authorization using macOS's auditd equivalent (if configured).
Chronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- EPSS mis à jour
Mitigation et Contournements
La solution pour CVE-2026-40599 est simple : mettre à jour ClearanceKit vers la version 5.0.5 ou ultérieure. Cette version corrige la logique d'identification des processus, empêchant la mauvaise classification des logiciels malveillants comme binaires Apple. Il est fortement recommandé d'appliquer cette mise à jour dès que possible, en particulier dans les environnements où la sécurité des données est critique. De plus, il est conseillé de maintenir tous les composants du système d'exploitation macOS à jour pour atténuer d'autres vulnérabilités potentielles. Vérifiez la source de la mise à jour pour vous assurer qu'elle est légitime et qu'elle provient du développeur de ClearanceKit.
Comment corrigertraduction en cours…
Actualice ClearanceKit a la versión 5.0.5 o superior para evitar que el software malicioso se haga pasar por un proceso de Apple y acceda a archivos protegidos. La actualización corrige la forma en que ClearanceKit maneja los procesos con un ID de equipo vacío y un ID de firma no vacío, asegurando que solo se reconozcan los binarios de plataforma de Apple legítimos.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-40599 dans ClearanceKit ?
ClearanceKit est un outil macOS qui contrôle l'accès au système de fichiers, renforçant la sécurité du système.
Suis-je affecté(e) par CVE-2026-40599 dans ClearanceKit ?
La version 5.0.5 corrige une vulnérabilité critique qui permet aux logiciels malveillants de contourner les politiques d'accès aux fichiers.
Comment corriger CVE-2026-40599 dans ClearanceKit ?
La version de ClearanceKit peut être vérifiée via l'interface utilisateur de l'application ou en consultant les informations de version dans les paramètres.
CVE-2026-40599 est-il activement exploité ?
Surveiller l'activité du système à la recherche de processus inconnus avec des ID de signature valides peut aider à détecter d'éventuelles compromissions.
Où trouver l'avis officiel de ClearanceKit pour CVE-2026-40599 ?
La mise à jour peut être téléchargée à partir du site web officiel du développeur de ClearanceKit.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.