La première vulnérabilité critique découverte sous MacOS X n'a rien à envier à Windows : elle permet à un site web malicieux d'exécuter très simplement n'importe quelle commande Unix ou n'importe quel script sur l'ordinateur de l'internaute. Annoncée il y a quelques jours à peine, de très nombreux exploits circulent déjà sur Internet.

au sommaire


    Mac OS X

    Mac OS X

    C'est un scénario que les habitués de nos colonnes connaissent bien : plutôt que de se contenter d'afficher des pages web, le navigateur essaie d'en faire trop et finit par compromettre la sécurité du système tout entier.
    Sauf qu'ici, au lieu de l'habituel couple de mécréants Internet Explorer et Windows, le casting nous offre un duo original puisqu'il s'agit de MacOS X et son navigateur Safari (la faille est cependant partiellement exploitable avec d'autres navigateurs).

    Pour être honnête cependant, cette vulnérabilité ne touche pas tant le navigateur que la manière dont le protocole d'aide est géré par le système lorsqu'on lui soumet une URL spéciale. Pour mémoire Windows XPWindows XP a lui aussi été victime d'une telle faille, mais elle ne permettait alors "que" d'effacer n'importe quel répertoire sur le disque dur.
    Dans sa version MacOS X, la vulnérabilité permet cette fois de forcer le MacMac a exécuter n'importe quelle commande UnixUnix (car le système est bâti sur FreeBSD, un Unix historique) ou n'importe quel script. Il suffit pour cela de cliquer sur un lien commençant par help:runscript.

    Certes, le script invoqué doit être présent sur le système. Mais il est possible d'exploiter une seconde faille du navigateur Safari afin de contourner cette limitation en le téléchargeant au préalable (ce que fait cette démonstration inoffensive). L'attaque est rendue possible car Safari télécharge les images disques toujours au même endroit et les décompresse immédiatement. Il n'y a pas mieux pour déposer un code malicieux avant de le faire exécuter par la vulnérabilité du système d'aide.

    Mais attention : même sans cela (si l'utilisateur a choisi un autre navigateur par exemple), il demeure toujours possible d'exécuter à distance n'importe quelle commande Unix sur le système, une aubaine pour les pirates un peu créatifs.

    Il n'y aucun correctif certifié AppleApple disponible pour l'heure. Apple se contente d'être "entrain d'étudier le problème".

    En attendant le correctif maison, quelques mesures peuvent cependant minimiser le risque dont le script ci-dessous. La plus souvent conseillée propose de changer l'applicationapplication associée au protocole Help afin qu'au lieu du moteur de script ce soit, par exemple, un simple jeu qui soit appelé. Enfin, il est aussi possible de retirer la permission d'exécution à l'application du Helper (Help Viewer.app).