Вперше про трояне для Mac під назвою Flashback заговорили у вересні минулого року. За цей час він постійно розвивався, щоб обдурити користувачів і обходити вбудований в OS X захист, а в новій різновиди шкідливої програми з’явилася ще одна дуже неприємна особливість: тепер ви можете заразити комп’ютер навіть без введення адміністраторського пароля, просто відвідавши заражений сайт.

Нагадаю, що перша версія Flashback видавала себе за інсталяційний пакет Adobe Flash — звідси і назва трояна. Але за цей час він неодноразово змінював тактику, пробував різні механізми проникнення в надра операційної системи, пропонував оновити компоненти Java і навіть маскувався під відому кожному маководу утиліту Software Update.

Останній варіант Flashback був виявлений фінською компанією F-Secure, що спеціалізується на дослідженнях в області безпеки інформації, отримав назву OSX/Flashback.K і використовує діру в Java SE6 (CVE-2012-507). Дана уразливість дозволяє заразити комп’ютер користувача, переглядає шкідливий веб-сайт, навіть не вимагаючи від нього ввести пароль від облікового запису, володіє адміністраторськими привілеями, що було необхідно у всіх попередніх різновидах цієї троянської програми.

На даний момент не існує виправлення Java, яке б усунуло знайдену уразливість у користувачів OS X, хоча системні компоненти для Windows були оновлені ще в лютому. На жаль, на Apple теж особливо не доводиться розраховувати — ще в 2010 році компанія оголосила свої власні Java runtime застарілими і дуже рідко випускала його апдейти. Наприклад, перше і єдине оновлення Java для OS X Lion вийшло майже 5 місяців тому.

Однак враховуючи ступінь небезпеки — нещодавно ця вразливість була включена в популярний набір експлойтів BlackHole, яким користуються багато хакерів світу, — Apple може порадувати нас патчем в не надто віддаленому майбутньому. А до цих пір F-Secure рекомендує відключити Java на ваших комп’ютерах Mac. Робиться це досить просто.

Користувачі Lion повинні запустити Safari, відкрити Налаштування (Cmd+,) і на вкладці «Безпека» (Security) відключити чекбокс «Включити Java» (Enable Java):

А користувачам Snow Leopard потрібно запустити конфігураційну утиліту Java Preferences, яку можна знайти в каталозі /Програми/Службові програми (/Applications/Utilities), і теж зняти відповідні чекбокси в закладці General:

Крім цього, у F-Secure існує невелика керівництво (на англ.), дозволяє встановити, чи заражена ваша система трояном Flashback чи ні.

Сама по собі можливість автоматичного встановлення зловмисного програмного забезпечення без відома користувача є достатнім приводом для занепокоєння, але не варто панікувати, адже попереджений — значить озброєний. До того ж, відключення Java на даний момент видається цілком розумним кроком, не думаю, що вона так часто потрібна більшості користувачів. Особисто я можу згадати лише 2-03 рази, коли мені була потрібна Java (не плутайте з JavaScript для перегляду веб-сайтів.

UPD: На прохання читачів я перевів керівництво F-Secure за виявлення і видалення Flashback.