Plataforma
macos
Componente
clearancekit
Corrigido em
5.0.6
ClearanceKit, a macOS utility designed to intercept and enforce file-system access policies, contains a vulnerability allowing malicious software to bypass these protections. Prior to version 5.0.5, ClearanceKit incorrectly identifies processes lacking a Team ID but possessing a Signing ID as legitimate Apple platform binaries. This misclassification enables attackers to gain unauthorized access to files that should be protected.
CVE-2026-40599 afeta o ClearanceKit, uma ferramenta do macOS que controla o acesso ao sistema de arquivos. A vulnerabilidade reside em uma identificação incorreta de processos. Antes da versão 5.0.5, o ClearanceKit classificava erroneamente processos sem um ID de Equipe (Team ID) mas com um ID de Assinatura (Signing ID) como binários da plataforma Apple. Isso permite que software malicioso se passe por um processo legítimo da Apple, contornando as políticas de acesso e obtendo acesso não autorizado a arquivos protegidos. O impacto é grave, pois um atacante poderia ler, modificar ou até mesmo excluir dados confidenciais protegidos pelo ClearanceKit. A ausência de um KEV (Vulnerabilidade de Extensão do Kernel) indica que a vulnerabilidade não está diretamente relacionada a extensões do kernel, mas sim à lógica do ClearanceKit.
Um atacante poderia explorar esta vulnerabilidade criando um programa malicioso que não tenha um ID de Equipe, mas tenha um ID de Assinatura válido. Ao executar este programa, o ClearanceKit o classificaria incorretamente como um binário da Apple, permitindo que ele contorne as políticas de acesso e acesse arquivos protegidos. A complexidade da exploração é relativamente baixa, pois requer apenas a criação de um programa com as características mencionadas. O sucesso da exploração depende da configuração do ClearanceKit e da presença de arquivos protegidos que o atacante deseja acessar. A detecção desta atividade pode ser difícil, pois o programa malicioso se disfarça como um processo legítimo da Apple.
Users of macOS who rely on ClearanceKit for file access control are at risk, particularly those running older versions of ClearanceKit (prior to 5.0.5). This includes developers building applications that utilize ClearanceKit, as well as system administrators managing macOS environments. Shared hosting environments utilizing ClearanceKit for security are also vulnerable.
• macos / system:
ls -l /Library/LaunchDaemons | grep ClearanceKit• macos / system: Check for unusual file access events in system logs (Console.app) originating from processes with empty Team IDs.
• macos / system: Use sysctl to verify ClearanceKit version: sysctl com.clearancekit.version
• macos / system: Monitor for processes attempting to access protected files without proper authorization using macOS's auditd equivalent (if configured).
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
A solução para CVE-2026-40599 é simples: atualizar o ClearanceKit para a versão 5.0.5 ou superior. Esta versão corrige a lógica de identificação de processos, evitando a classificação errônea de software malicioso como binários da Apple. Recomenda-se aplicar esta atualização o mais rápido possível, especialmente em ambientes onde a segurança dos dados é crítica. Além disso, é uma boa prática manter todos os componentes do sistema operacional macOS atualizados para mitigar outras possíveis vulnerabilidades. Verifique a fonte da atualização para garantir que seja legítima e provenha do desenvolvedor do ClearanceKit.
Actualice ClearanceKit a la versión 5.0.5 o superior para evitar que el software malicioso se haga pasar por un proceso de Apple y acceda a archivos protegidos. La actualización corrige la forma en que ClearanceKit maneja los procesos con un ID de equipo vacío y un ID de firma no vacío, asegurando que solo se reconozcan los binarios de plataforma de Apple legítimos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
ClearanceKit é uma ferramenta do macOS que controla o acesso ao sistema de arquivos, reforçando a segurança do sistema.
A versão 5.0.5 corrige uma vulnerabilidade crítica que permite que software malicioso contorne as políticas de acesso a arquivos.
A versão do ClearanceKit pode ser verificada através da interface do usuário do aplicativo ou consultando as informações de versão nas configurações.
Monitorar a atividade do sistema em busca de processos desconhecidos com IDs de Assinatura válidos pode ajudar a detectar possíveis comprometimentos.
A atualização pode ser baixada do site oficial do desenvolvedor do ClearanceKit.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.