ACTUALITES

C'est un imposant correctif de sécurité qu'Apple vient de livrer aux utilisateurs de Mac OS X. En corrigeant plusieurs dizaines de vulnérabilités, dont plusieurs critiques, il n'a rien à envier aux rustines mensuelles de Microsoft. Dans le lot, des failles découvertes au coeur des produits Open Source qu'embarque nativement le système d'Apple. On y trouve ainsi des correctifs pour gnuzip, Perl, ftpd, OpenSSL, PHP, Samba... soit tout le gratin de l'open source (mais dont des versions corrigées existent déjà pour les autres plates-formes libres depuis un moment). La quasi-totalité de ces vulnérabilités, cependant, ne permettent que de provoquer un déni de service en faisant planter la machine ou en occupant ses ressources. Pour quelques rares exceptions, l'alerte de Secunia fait mention (du bout des lèvres) d'une possible exécution de code mais sans donner plus de précisions.

Ce n'est en revanche pas le cas des technologies spécifiques à Mac OS X, elles aussi corrigées par cette méga-rustine, dont certaines pouvaient permettre le piratage de la machine à distance. On y retrouve ainsi le tant attendu correctif pour le driver Wi-Fi des cartes Airport, des dépassements de mémoire tampon dans Apple Type Services pouvant mener à une exécution locale de code, une vulnérabilité dans le WebKit, qui permettait l'exécution de code à distance lors de la visite d'une page web piégée, et bien d'autres. Y compris - c'est presque ironique - dans le Security Framework et la gestion des certificats numériques. Même le bon vieux Finder est concerné, puisqu'il permettait l'exécution de code à la visite d'un répertoire muni d'un fichier .DS_Store piégé (même durant l'exploration d'un serveur FTP distant ?).

La palme, cependant, revient à une vulnérabilité dont le correctif brille toujours par son absence. Il est possible, via une image disque (.dmg) piégée de faire exécuter du code sur le Mac, en mode noyau. Compte tenu de la popularité de ce format pour la distribution d'applications sous Macintosh, cela reviendrait, sous Windows, à pouvoir être profondément infecté à la simple ouverture d'une archive ZIP, quel que soit son contenu (non pas que ce ne soit jamais arrivé, et même récemment !). Cerise sur le gâteau, dans sa configuration par défaut, le navigateur Safari ouvre automatiquement les images disques lorsqu'il lui est demandé de les télécharger. Ce comportement a pourtant déjà été la source de problèmes, et il est conseillé depuis longtemps de l'interdire. D'autant plus aujourd'hui qu'un code d'exploitation de cette vulnérabilité circule actuellement sur le web.

Ajoutons enfin à ce festival la récente annonce un peu tarte à la crème d'un premier "adware" de laboratoire pour Mac OS X (iAdware, qui bien que mineur, marque un précédent amusant : la capacité à s'accrocher à toutes les applications de l'utilisateur via une feature et non un bug). On serait alors presque tenté de dire qu'il n'y a pas que les puces Intel qui rapprochent désormais le Mac du PC !

Plus d'informations :

Le détail du correctif d'Apple, sur le site de Secunia (en anglais).

L'alerte pour la faille des images de disque (en anglais).