Vulnérabilités

Une vulnérabilité 0-Day pour MacOS X

Par Jerome Saiz, le 23 avril 2007 à 22:53:00.

Vulnérabilités

Un hacker vient d'empocher une prime de dix-mille dollars pour avoir démontré qu'il était capable de prendre le contrôle à distance d'un Mac dans sa configuration par défaut. La vulnérabilité serait exploitable à la visite d'un site web piégé. Selon l'inventeur de la faille, tous les Mac du moment seraient vulnérables. [Mis à jour le 24/04/07]

C'est finalement une vulnérabilité exploitable via le navigateur Safari qui aura permis à un pirate de remporter le prix de dix-mille dollars offert dans le cadre de la conférence CanSecWest, au Canada.

Les organisateurs avaient en effet installé deux Mac accessibles depuis une borne wifi. Leur configuration était celle par défaut et aucun programme supplémentaire n'était exécuté. L'objectif était d'en prendre le contrôle à distance : le premier devait être compromis en obtenant un accès "utilisateur" en ligne de commande (un "shell"), et le second un accès "administrateur" ("root"). Pour cette épreuve là, les Mac se sont révélés inviolables (l'histoire ne dit pas si le pare-feu personnel de MacOSX était activé ou non. Il ne l'est en tout cas pas par défaut.).

Peut-être afin de pousser un peu plus les hackers dans leurs derniers retranchements (et au passage, de simuler un vecteur d'attaque très courant !), les organisateurs ont alors décidés que les participants avaient la possibilité d'envoyer par email des liens Internet qui seraient transmis aux Mac. En clair, il était possible de "faire cliquer" sur un lien puis de "faire visiter" une page web de leur choix aux machines. L'attaque pouvait donc être menée au niveau du lien (malformé, par exemple) ou de la page web à l'arrivée (piégée).

C'est cette seconde option - au demeurant la plus inquiétante pour les utilisateurs - qui a été choisie par le pirate vainqueur du concours. Aucun détail n'a filtré sur la nature exacte de la vulnérabilité. Selon la rumeur - à prendre avec précaution - elle serait liée à la fonctionnalité "d'Input Managers" de Mac OS X (des librairies qu'il suffit de déposer sur le système et qui permettent d'intercepter toutes les entrées du programme auquel ils se rattachent afin de les modifier avant de les lui renvoyer) Voir notre mise à jour du 24 avril pour le détail de cette faille.
Toujours est-il qu'il s'agit donc d'une vulnérabilité de type 0-Day (non corrigée, donc) pour MacOS X, accessible à la simple visite d'une page web piégée. L'attaque n'aurait pas fait "crasher" le navigateur Safari et serait donc en outre silencieuse.

La vulnérabilité ne sera pas révélée au public. C'est la société 3Com, via sa division Tipping Point (rachetée à la fin 2004) qui s'occupera de contacter Apple. C'est 3Com qui avait offert le prix de 10.000 dollars.
Pour l'heure, il n'y a pas de correctif à cette vulnérabilité. Lorsqu'elle a été annoncée, le 20 avril dernier, Apple venait tout juste de publier un méga-correctif de sécurité de plus d'une vingtaine de rustines. L'une de ces vulnérabilités concernait déjà le navigateur Safari et l'exécution de code, mais cette fois-ci via la librairie libinfo.

[Mise à jour du 24/04/07]
Nous en savons désormais plus sur cette vulnérabilité, grâce à l'interview d'un responsable des incidents de sécurité chez Tipping Point, publiée par le site InfoWorld. La faille toucherait aussi bien Safari que Firefox sous Mac (adieu, donc, l'option de changer de navigateur en attendant un correctif...). Mais surtout, elle concernerait aussi Windows lorsque Quick Time est installé !
D'après InfoWorld en effet, la vulnérabilité se situerait dans une interaction malheureuse entre Java et Quick Time, des composants qui ne sont pas exclusifs au Mac (rien à voir avec la rumeur d'exploitation des Input Managers comme nous l'indiquions dans la première version de cet article).
L'absence de correctif, en revanche, est toujours de mise : Apple n'aurait pour l'heure répondu que par un courrier-type...

Plus d'information

L'annonce (particulièrement brève !) du piratage, sur le site de la convention de sécurité (en anglais)

Une vulnérabilité pour les navigateurs libres. (10 juil 2004)
Une vulnérabilité majeure pour Kerberos. (03 nov 2002)
Festival de vulnérabilités pour MacOS X (21 avril 2006)
Une vulnérabilité majeure pour Yahoo! Messenger (11 juin 2007)
Déluge de vulnérabilités pour Windows (14 avril 2004)

Cartes blanches

Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.	Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.	Sécurité et contrôle dans les banques : un échec ? Monsieur RSSI Face à un constat d'échec des contrôles internes dans les banques, un RSSI propose 5 règles à adopter d'urgence.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres

Vulnérabilités

Une vulnérabilité 0-Day pour MacOS X

Plus d'information

A voir aussi

Cartes blanches

espace partenaires

Livres Blancs

Guides