CVE-2026-40599 describes a vulnerability in ClearanceKit, a file-system access interception tool for macOS. Prior to version 5.0.5, ClearanceKit incorrectly identifies processes with an empty Team ID and a non-empty Signing ID as Apple platform binaries. This allows malicious software to impersonate Apple processes. A fix is available in version 5.0.5.
CVE-2026-40599 影响 ClearanceKit,这是一个 macOS 系统,用于控制文件系统访问的工具。该漏洞在于进程的错误识别。在 5.0.5 版本之前,ClearanceKit 会错误地将缺少 Team ID 但具有 Signing ID 的进程分类为 Apple 平台二进制文件。这使得恶意软件可以冒充合法的 Apple 进程,绕过访问策略,并获得对受保护文件的未经授权的访问。影响非常严重,因为攻击者可以读取、修改甚至删除 ClearanceKit 保护的敏感数据。缺少 KEV(内核扩展漏洞)表明该漏洞与内核扩展无关,而是与 ClearanceKit 的逻辑相关。
攻击者可以通过创建缺少 Team ID 但具有有效 Signing ID 的恶意程序来利用此漏洞。执行此程序时,ClearanceKit 会错误地将其分类为 Apple 二进制文件,从而使其能够绕过访问策略并访问受保护的文件。利用的复杂性相对较低,因为它只需要创建具有上述特征的程序。利用的成功取决于 ClearanceKit 的配置以及攻击者想要访问的受保护文件的存在。检测此活动可能很困难,因为恶意程序会伪装成合法的 Apple 进程。
Users of macOS who rely on ClearanceKit for file access control are at risk, particularly those running older versions of ClearanceKit (prior to 5.0.5). This includes developers building applications that utilize ClearanceKit, as well as system administrators managing macOS environments. Shared hosting environments utilizing ClearanceKit for security are also vulnerable.
• macos / system:
ls -l /Library/LaunchDaemons | grep ClearanceKit• macos / system: Check for unusual file access events in system logs (Console.app) originating from processes with empty Team IDs.
• macos / system: Use sysctl to verify ClearanceKit version: sysctl com.clearancekit.version
• macos / system: Monitor for processes attempting to access protected files without proper authorization using macOS's auditd equivalent (if configured).
disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
CVE-2026-40599 的解决方案很简单:将 ClearanceKit 更新到 5.0.5 或更高版本。此版本更正了进程识别逻辑,防止恶意软件被错误地分类为 Apple 二进制文件。强烈建议尽快应用此更新,尤其是在数据安全至关重要的环境中。此外,保持 macOS 操作系统所有组件的更新也是一种良好的做法,以减轻其他潜在的漏洞。请验证更新的来源,以确保其合法且来自 ClearanceKit 开发人员。
Actualice ClearanceKit a la versión 5.0.5 o superior para evitar que el software malicioso se haga pasar por un proceso de Apple y acceda a archivos protegidos. La actualización corrige la forma en que ClearanceKit maneja los procesos con un ID de equipo vacío y un ID de firma no vacío, asegurando que solo se reconozcan los binarios de plataforma de Apple legítimos.
漏洞分析和关键警报直接发送到您的邮箱。
ClearanceKit 是一个 macOS 工具,用于控制文件系统访问,从而增强系统安全。
版本 5.0.5 修复了一个关键漏洞,该漏洞允许恶意软件绕过对文件的访问策略。
可以通过应用程序的用户界面或通过查看设置中的版本信息来验证 ClearanceKit 版本。
监控系统活动以查找具有有效 Signing ID 的未知进程可以帮助检测潜在的破坏。
可以从 ClearanceKit 开发人员的官方网站下载更新。