Une faille de sécurité de plus de quinze ans touche macOS

0

Apple ne commence pas l’année 2018 du bon pied. Un chercheur spécialisé en sécurité vient de découvrir et de rendre public les détails d’une vulnérabilité de système d’exploitation d’Apple qui serait encore non corrigée et permettrait de prendre le contrôle total d’un système macOS.

Les détails de la vulnérabilité affectant macOS ont été rendus publics lundi lorsqu’un chercheur utilisant le nom en ligne de Siguza a décrit l’attaque comme un « zero day permettant l’exécution de code arbitraire et l’obtention de permissions root dans macOS». Ainsi, un malware codé spécifiquement pour exploiter cette faille peut alors s’installer sur le système à très bas niveau car la vulnérabilité affecte l’obtention des autorisations de IOHIDFamily, une extension de base conçue pour les dispositifs d’interface humaine (HID).

Ainsi, l’exploit désactive les fonctions de la protection et de l’intégrité du système et les fichiers mobiles d’Apple et affecte toutes les versions de macOS. En plus, elle peut conduire à une vulnérabilité de lecture / écriture arbitraire dans le noyau.

Etant donné que la faille n’est exploitable que physiquement sur les machines et non à distance, Siguza a décidé de la rendre directement publique sur sa page GitHub où il affirme que la vulnérabilité dont nous parlons existe depuis 2002.

Toutes les versions de macOS touchés

macos

Bien qu’une partie du code partagé par Siguza ne semble pas fonctionner que dans macOS High Sierra 10.13.1 et versions antérieures, la vulnérabilité pourrait bien fonctionner aussi dans la dernière version, 10.13.2 avec de légères variations.

En plus, il y a tout juste un mois, une vulnérabilité permettait d’accéder à la configuration du système sans mot de passe et de gagner des privilèges d’administrateur dans macOS High Sierra. Décidément, Apple a encore fort à faire pour sécuriser macOS car depuis quelques mois Apple enchaîne les vulnérabilités sur son système d’exploitation.

De toute façon, Siguza n’a pas prévenu Apple de la faille de sécurité. Il a préféré de la publier sur son site parce qu’Apple ne propose pas de programme de récompense pour les failles sur Mac, contrairement à iOS. Changera Apple d’avis à ce propos à l’avenir?

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply