Vulnérabilités

MacOS X : une nouvelle vulnérabilité

Par Jerome Saiz, le 21 fév 2006 à 11:41:00.

Vulnérabilités

Il est possible d'exécuter automatiquement un script sur MacOS X à la simple visite d'un site web malicieux. L'attaque est exploitable via le navigateur Safari dans sa configuration par défaut. Bonne nouvelle cependant : il suffit de décocher une simple option pour n'être plus vulnérable.
Mis à jour le 22/02/06 : Apple Mail se révèle également vulnérable, et là, il n'y a pas d'option à décocher pour se protéger. Il est en revanche nécessaire de cliquer sur l'image pour exécuter le script malicieux.

[page 2 sur 2] Il semblerait ainsi plus logique, et surtout plus sûr, que MacOS X s'en tienne à l'information stockée dans son système de fichier (type du document en fonction de son code créateur, de ses en-têtes ou de son extension) afin de déterminer l'application nécessaire à son ouverture. En ignorant au passage la méta-donnée placée arbitrairement par le pirate.

Il semblerait qu'Apple ait sérieusement besoin de se lancer une fois pour toute sur le chemin initiatique de la sécurité...

Plus d'information

Testez la vulnérabilité de votre navigateur Safari sur le site du découvreur :
www.heise.de/security/dienste/browsercheck/demos/safari/Heise.jpg.zip (lien à copier-coller dans votre navigateur)
Le même test, mais cette fois-ci pour Apple Mail(en Allemand...)
www.heise.de/security/dienste/emailcheck/demos/go.shtml?kategorie=virendummies
Safari a déjà été victime d'une vulnérabilité similaire (en français)

Les gadgets de Tiger ouvrent la porte aux pirates. (12 mai 2005)
MacOS X : un félin plus sûr ? (05 nov 2007)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches