Platform
macos
Component
clearancekit
Opgelost in
5.0.6
In ClearanceKit is een kwetsbaarheid ontdekt waardoor een proces zich als een Apple proces kan voordoen. Dit is mogelijk doordat ClearanceKit een proces met een lege Team ID en een niet-lege Signing ID verkeerd behandelt. Door deze kwetsbaarheid kan kwaadaardige software ongeautoriseerde toegang krijgen tot beschermde bestanden. De kwetsbaarheid beïnvloedt ClearanceKit versies 0.0.0 tot en met versies lager dan 5.0.5. Een fix is beschikbaar in versie 5.0.5.
CVE-2026-40599 treft ClearanceKit, een macOS-tool dat bestandssysteemtoegang controleert. De kwetsbaarheid ligt in een onjuiste procesidentificatie. Voor versie 5.0.5 classificeerde ClearanceKit processen zonder Team ID, maar met een Signing ID ten onrechte als Apple-platform binaries. Dit stelt kwaadaardige software in staat zich voor te doen als een legitiem Apple-proces, toegangscontroles te omzeilen en ongeautoriseerde toegang te krijgen tot beveiligde bestanden. De impact is ernstig, aangezien een aanvaller gevoelige gegevens die door ClearanceKit worden beschermd, kan lezen, wijzigen of zelfs verwijderen. Het ontbreken van een KEV (Kernel Extension Vulnerability) geeft aan dat de kwetsbaarheid niet direct gerelateerd is aan kernel-extensies, maar aan de logica van ClearanceKit.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren door een kwaadaardig programma te maken dat geen Team ID heeft, maar wel een geldige Signing ID. Bij uitvoering zou ClearanceKit dit programma ten onrechte classificeren als een Apple-binary, waardoor het toegangscontroles kan omzeilen en toegang kan krijgen tot beveiligde bestanden. De complexiteit van de exploitatie is relatief laag, aangezien het slechts het maken van een programma met de genoemde kenmerken vereist. Het succes van de exploitatie hangt af van de ClearanceKit-configuratie en de aanwezigheid van beveiligde bestanden waar de aanvaller toegang toe wil. Het detecteren van deze activiteit kan moeilijk zijn, omdat het kwaadaardige programma zich voordoet als een legitiem Apple-proces.
Users of macOS who rely on ClearanceKit for file access control are at risk, particularly those running older versions of ClearanceKit (prior to 5.0.5). This includes developers building applications that utilize ClearanceKit, as well as system administrators managing macOS environments. Shared hosting environments utilizing ClearanceKit for security are also vulnerable.
• macos / system:
ls -l /Library/LaunchDaemons | grep ClearanceKit• macos / system: Check for unusual file access events in system logs (Console.app) originating from processes with empty Team IDs.
• macos / system: Use sysctl to verify ClearanceKit version: sysctl com.clearancekit.version
• macos / system: Monitor for processes attempting to access protected files without proper authorization using macOS's auditd equivalent (if configured).
disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
De oplossing voor CVE-2026-40599 is eenvoudig: update ClearanceKit naar versie 5.0.5 of hoger. Deze versie corrigeert de procesidentificatielogica en voorkomt de verkeerde classificatie van kwaadaardige software als Apple-binaries. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen, vooral in omgevingen waar databeveiliging cruciaal is. Bovendien is het een goede gewoonte om alle componenten van het macOS-besturingssysteem up-to-date te houden om andere potentiële kwetsbaarheden te verminderen. Controleer de bron van de update om er zeker van te zijn dat deze legitiem is en afkomstig is van de ClearanceKit-ontwikkelaar.
Actualice ClearanceKit a la versión 5.0.5 o superior para evitar que el software malicioso se haga pasar por un proceso de Apple y acceda a archivos protegidos. La actualización corrige la forma en que ClearanceKit maneja los procesos con un ID de equipo vacío y un ID de firma no vacío, asegurando que solo se reconozcan los binarios de plataforma de Apple legítimos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ClearanceKit is een macOS-tool die bestandssysteemtoegang controleert en de systeembeveiliging versterkt.
Versie 5.0.5 corrigeert een kritieke kwetsbaarheid waardoor kwaadaardige software toegangscontroles op bestanden kan omzeilen.
De ClearanceKit-versie kan worden gecontroleerd via de gebruikersinterface van de applicatie of door de versie-informatie in de instellingen te raadplegen.
Het monitoren van de systeemactiviteit op onbekende processen met geldige Signing IDs kan helpen bij het detecteren van mogelijke compromittaties.
De update kan worden gedownload van de officiële website van de ClearanceKit-ontwikkelaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.