Vulnérabilités
Mac, pour une poignée de failles
Par Jerome Saiz, le 30 nov 2006 à 16:30:00.
Apple corrige une volée de vulnérabilités pour Mac OS X, certaines issues des outils Libres intégrés et d'autres découvertes dans les technologies maison. La plus sévère, en revanche, reste non corrigée. Une vulnérabilité dans la décompression des images disque permet l'exécution de code en mode noyau.
C'est un imposant correctif de sécurité qu'Apple vient de livrer aux utilisateurs de Mac OS X. En corrigeant plusieurs dizaines de vulnérabilités, dont plusieurs critiques, il n'a rien à envier aux rustines mensuelles de Microsoft.
Dans le lot, des failles découvertes au coeur de produits Open Source qu'embarque nativement le système d'Apple. On y trouve ainsi des correctifs pour gnuzip, Perl, ftpd, OpenSSL, PHP, Samba... soit tout le gratin de l'Open Source (mais dont des versions corrigées existent déjà pour les autres plate-formes libres depuis un moment).
La quasi-totalité de ces vulnérabilités, cependant, ne permettent que de provoquer un déni de service en faisant planter la machine ou en occupant ses ressources. Dans quelques rares exceptions l'alerte de Secunia fait-elle mention du bout des lèvres d'une possible exécution de code sans donner plus de précision.
Ce n'est en revanche pas le cas des technologies spécifique à Mac OS X, elles aussi corrigées par cette méga-rustine, dont certaines pouvaient permettre le piratage de la machine à distance ou non. On y retrouve ainsi le tant attendu correctif pour le driver WiFi des cartes Airport, des dépassements de mémoire tampon dans Apple Type Services pouvant mener à une exécution locale de code, une vulnérabilité dans le WebKit, qui permettait l'exécution de code à distance lors de la visite d'une page web piégée, et bien d'autres. Y compris - c'est presque ironique - dans le Security Framework et la gestion des certificats numériques.
Même le bon vieux Finder est concerné, puisqu'il permettait l'exécution de code à la visite d'un répertoire muni d'un fichier
.DS_Store piégé (même durant l'exploration d'un serveur FTP distant ?)La palme, cependant, revient à une vulnérabilité dont le correctif brille toujours par son absence. Il est possible, via une image disque (
.dmg) piégée de faire exécuter du code sur le Mac, en mode noyau. Compte tenu de la popularité de ce format pour la distribution d'applications sous Mac, cela reviendrait, sous Windows, à pouvoir être profondément infecté à la simple ouverture d'une archive ZIP, quel que soit son contenu (non pas que ce ne soit jamais arrivé, et même récemment !).Cerise sur le gâteau, dans sa configuration par défaut le navigateur Safari ouvre automatiquement les images disques lorsqu'il lui est demandé de les télécharger. Ce comportement a pourtant déjà été la source de problèmes, et il est conseillé depuis longtemps de l'interdire. D'autant plus aujourd'hui qu'un code d'exploitation de cette vulnérabilité circule actuellement sur le web.
Ajoutons enfin à ce festival la récente annonce un peu tarte à la crème d'un premier "adware" de laboratoire pour Mac OS X (iAdware, qui bien que mineur, marque un précédent amusant : la capacité à s'accrocher à toutes les applications de l'utilisateur via une feature et non un bug). On serait alors presque tenté de dire qu'il n'y a pas que les puces Intel qui rapprochent désormais le Mac du PC !
Presque... parce qu'ici, on n'échangerait pas nos Mac pour autant, même contre un baril d'autre chose !
Plus d'information
- Le détail du correctif d'Apple, sur le site de Secunia (en anglais)
- L'alerte pour la faille des images de disque (en anglais)
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
