MacOS X : une nouvelle vulnérabilité

Par Jerome Saiz, le 21 fév 2006 à 11:41:00.

Il est possible d'exécuter automatiquement un script sur MacOS X à la simple visite d'un site web malicieux. L'attaque est exploitable via le navigateur Safari dans sa configuration par défaut. Bonne nouvelle cependant : il suffit de décocher une simple option pour n'être plus vulnérable.
Mis à jour le 22/02/06 : Apple Mail se révèle également vulnérable, et là, il n'y a pas d'option à décocher pour se protéger. Il est en revanche nécessaire de cliquer sur l'image pour exécuter le script malicieux.

Série noire pour MacOS X : après l'apparition d'un premier parasite aux allures de ver "façon Windows", puis de la démonstration d'une attaque contre son implémentation Bluetooth (suffisamment anecdotique pour que nous n'en parlions pas), voici que c'est le navigateur du Mac qui est maintenant mis en cause.
Dans sa configuration par défaut, Safari ouvre automatiquement les fichiers réputés sûrs (images, films...) lorsqu'ils viennent d'être téléchargés. Bien sûr, le système refuse d'ouvrir ainsi les contenus exécutables tels des scripts Unix ou des logiciels. Mais, comme le démontre un universitaire allemand, il est possible de contourner cette limitation...

Dans le cas des scripts Unix ("Bash", en fait, pour les puristes), le système se sert pour les identifier de la chaîne habituelle placée en début de script et chargée d'indiquer où se trouve l'interpréteur de commande (le fameux #!/bin/bash). Jusque là, tout va bien.
Oui mais voilà : si un script ne comporte pas cette ligne magique, il ne sera pas détecté comme tel, mais sera en revanche tout à fait exécuté par le système ! (ce qui est, au passage, un comportement totalement anormal).

Un preuve de concept qui fonctionne

Et cette vulnérabilité n'est pas que théorique ! Son découvreur fournit une démonstration tout à fait efficace. Il suffit de visiter la page sur www.heise.de/security/dienste/browsercheck/demos/safari/Heise.jpg.zip pour télécharger et exécuter automatiquement un script Unix (inoffensif), sans aucune intervention de l'utilisateur.
Il est toutefois simple de se protéger contre cette attaque : il suffit de décocher l'option "Ouvrir automatiquement les fichiers fiables" dans les Préférences de Safari. Pour ceux qui nous lisent depuis quelques années, vous reconnaîtrez là un conseil que nous avions déjà promulgué !

La vulnérabilité n'est en outre pas très compliquée à corriger de la part d'Apple : en faisant un clic droit sur la pseudo-image (oui, les Mac ont aussi le clic droit !), il est possible de constater que le fichier s'ouvrira avec le Terminal et non l'application de visualisation par défaut (Aperçu, généralement). Cette information là, déjà disponible, donc, pourrait probablement être utilisée pour donner l'alerte.

Il faudrait cependant, pour cela, qu'Apple se décide à traiter la sécurité de manière sérieuse. Contrairement à Microsoft, qui y a été contraint et forcé, Apple en est encore à ne pas parler de sécurité et à traiter cette dernière de manière cavalière (manque d'information, très peu de communication au sujet des vulnérabilités, aucun processus de communication formel, etc...).
Il suffirait pourtant de pas grand chose tant le système repose sur une base solide.
Il suffirait, peut-être, d'un baptême du feu tel que l'a subi Microsoft.
Ce qui semble en bonne voie...

Mise à jour du 22/02/06 : Apple Mail peut lui aussi être exploité pour diffuser une image piégée. Il n'y aura pas ici d'exécution automatique à la réception du courrier, mais il suffira de cliquer sur le fichier .JPG joint pour exécuter le script malicieux sans qu'aucune confirmation ne soit demandée à l'utilisateur.
Le coupable, ici, est le format MIME propriétaire AppleDouble, dans lequel est encodé le fichier joint. Ce dernier permet d'envoyer un fichier et, avec lui, ses méta-données. Parmi ces dernières, il est possible de spécifier quelle application doit ouvrir le fichier, en dépit de son type apparent (ce sont les mêmes méta-données, mais cette fois stockées dans un dossier invisible de l'archive ZIP, qui rendaient possible l'attaque sous Safari).
Permettre à un correspondant étranger de spécifier de manière arbitraire quelle application locale devra ouvrir le fichier envoyé est une incroyable erreur de conception. Espérons qu'Apple saura réagir rapidement et placer des garde-fous à cette fonctionnalité, ou la supprimer totalement (ce qui, au passage, évitera aux utilisateurs du Mac d'encombrer les archives qu'ils envoient à leurs correspondants sous Windows de ces ennuyeux dossier _MACOSX !)

• 1
• 2
• » Suivant

Plus d'information

• Testez la vulnérabilité de votre navigateur Safari sur le site du découvreur :
  www.heise.de/security/dienste/browsercheck/demos/safari/Heise.jpg.zip (lien à copier-coller dans votre navigateur)
• Le même test, mais cette fois-ci pour Apple Mail(en Allemand...)
  www.heise.de/security/dienste/emailcheck/demos/go.shtml?kategorie=virendummies
• Safari a déjà été victime d'une vulnérabilité similaire (en français)

A voir aussi

• Les gadgets de Tiger ouvrent la porte aux pirates. (12 mai 2005)
• MacOS X : un félin plus sûr ? (05 nov 2007)