Vulnerabilidad en Support App (CVE-2024-27301)

Support App es una aplicación de código abierto especializada en la gestión de dispositivos Apple. Es posible abusar de una vulnerabilidad dentro del script del instalador posterior a la instalación para hacer que el instalador ejecute código arbitrario como root. La causa de la vulnerabilidad es el hecho de que se está utilizando el shebang `#!/bin/zsh`. Cuando se ejecuta el instalador, solicita la contraseña del usuario para ejecutarlo como root. Sin embargo, seguirá usando el $HOME del usuario y, por lo tanto, cargará el archivo `$HOME/.zshenv` cuando se ejecute el script `postinstall`. Un atacante podría agregar código malicioso a `$HOME/.zshenv` y se ejecutará cuando se instale la aplicación. Un atacante puede aprovechar esta vulnerabilidad para aumentar los privilegios en el sistema. Este problema se solucionó en la versión 2.5.1 Rev 2. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.