Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Buffer overflows et boulettes en chaine pour Mac OS X

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Buffer overflows et boulettes en chaine pour Mac OS X

La dernière mega-rustine de sécurité d’Apple corrige quarante vulnérabilités dans le système Mac OS X d’Apple. Du côté des risques potentiels, tout y passe, de l’exécution de code sur le système jusqu’au déni de service. Du côté des fautifs, on trouve également de tout : une majorité d’outils Libres pour lesquels Apple n’est pas responsable du développement mais aussi des briques 100% Mac telles le Webkit, le Directory Services (au coeur du système !) ou l’application Mail.app, qui confirmait en douce l’adresse email des utilisateurs auprès des spammeurs. Mac addicts, c’est à votre tour de faire chauffer la patcheuse ! [Mis à jour le 17/08/05]


Mise à jour : voir en fin de brève.Le pedigree de la dernière mega-rustine de sécurité pour Mac OS X a de quoi faire rougir de honte Windows : ce sont pas moins de quarante vulnérabilités, et pas des moindres, qui y sont corrigées.Telles quelles, ces failles permettent de prendre le contrôle du système de manière très variée. Par exemple à l’aide d’un document Word ou RTF piégé ouvert par le carnet de note du système (TextEdit, car il ouvre lui aussi les fichiers .doc). Ou encore en cliquant sur un lien web dissimulé dans un document PDF lui aussi piégé. Ou alors durant la procédure d’authentification sur le système. Ou bien… ou encore…Bref, vous l’avez compris : il s’agit d’une rustine absolument indispensable à tous les utilisateurs du Mac.Puisque Mac OS X est basé sur un Unix Libre, beaucoup des outils à l’origine de ces vulnérabilités sont issus de l’Open Source et n’ont donc pas étés développés par Apple. C’est le cas par exemple du serveur web Apache 2, de l’outil htdigest, du service d’impression CUPS, de la librairie de compression zlib, de la commande ping, du serveur X11, de Kerberos ou de MySQL, tous vulnérables d’une manière ou d’une autre. Apple se content de les intégrer à son système et de les mettre à jour lorsqu’ils sont corrigés par leurs auteurs respectifs.Plus grave en revanche : plusieurs briques essentielles du système, pourtant d’origine 100% Apple, se voient corrigées. C’est par exemple le cas du Webkit, en charge de l’interprétation de tout les contenus HTML à travers le système (bien qu’il soit basé sur KHTML, un outil libre du projet KDE). Plusieurs failles permettent à un pirate d’exécuter du code sur le système en soumettant des documents piégés au Webkit. Même chose pour le Directory Service, l’annuaire central du système, utilisé notamment pour l’authentification. Ou encore pour le Core Foundation, qui comme son nom l’indique fournit des services essentiels à de très nombreuses applications dans le système (et un buffer overflow autorisant l’exécution de code dans un tel composant, ça fait vraiment désordre !).Mais la palme de la sournoiserie revient à l’application Mail.app, le lecteur de courriers par défaut de Mac OS X. On apprend en effet aujourd’hui que ce dernier chargeait les images distantes dans les emails HTML même si l’option adéquate avait été supprimée dans les préférences . Bref, Mail.app confirmait votre adresse aux spammeurs même si vous aviez pris la peine de lui demander de ne pas le faire.Voilà une sacré boulette ! D’une part parce que, contrairement aux autres, cette vulnérabilité a réellement causé du tort à tous les utilisateurs. Mais surtout parce que du point de vue du développement, laisser une case à cocher inopérante pendant plusieurs mois dans un outil aussi central, ça relève d’un joli laxisme dans les procédures de code et de test. Apple nous avait franchement pas habitué à ça.Et en plus IBM va arrêter OS/2… tout fout le camps ! Mise à jour du 17/08/05 :Que de réactions ! Cette brève a soulevé l’indignation de la communauté des utilisateurs du Mac, qui lui reprochent d’une manière générale une « lecture rapide et un brin exagérée » de l’alerte d’Apple. Sans être d’accord sur tout, notons la qualité des réactions, souvent bien argumentées et de bon niveau (à quelques pathétiques exceptions près, qui se reconnaîtront sans mal !).Avant de laisser la parole aux intervenants les plus intéressants, tordons le cou au reproche commun à la majorité de ces réactions : l’auteur de cette brève n’aurait jamais touché un Mac. C’est en réalité plutôt le contraire puisque depuis plus d’un an le site Les Nouvelles.net est développé et testé, et les brèves rédigées, sur un Powerbook 15′ sous Mac OS X (Panther, puis Tiger). Bref, ici on utilise exclusivement Mac OS X, à l’exception de Linux Debian pour un fidèle et très utile serveur de backup (via rsync sur OpenSSH).Place maintenant aux extraits les plus intéressants des réactions reçues.Si je partage votre avis sous-jacent sur le nombre trop élevé de bugs à la sortie de Tiger, auquel Apple ne nous avait pas habitués, votre article me semble être une interprétation (un peu trop) libre de la note d’Apple et contient à tout le moins de nombreuses inexactitudes, imprécisions ou confusions, propres à induire en erreur vos lecteurs béotiens. 1 – Quelques applications seulement utilisent AppKit, ce qui limite la portée de la faille. 2 – Les 2 failles touchant CoreFoundation ne sont pas critiques:- L’une d’entre elle est un buffer overflow qui nécessite donc d’avoir accès à l’ordinateur via un shell pour s’exécuter. – L’autre n’implique pas une prise de contrôle de la machine, mais un « denial of service » certes gênant mais nullement critique.3 – Le problème de CUPS n’est pas une faille mais un bug de fonctionnement.4 – Apache 2 étant désactivé par défaut sur Tiger Client ET Server, cela limite grandement l’exploitation de ses failles. Les professionnels qui activeraient Apache2 les connaissent bien compte tenu de son origine que vous rappelez opportunément. Il conviendrait ici au contraire de saluer la sagesse d’Apple qui n’active par défaut que la version très éprouvée d’Apache 1.3.5 – La faille de l’application Mail qui le fait charger des images à distance n’intervient pas tout le temps comme le laisse entendre votre article, mais seulement lorsque l’utilisateur fait suivre ou imprime le mail en question.6 – Plus généralement, un grand nombre de ces failles (telles celles affectant WebKit, Mail, X11, etc.) ne touchent que Tiger MacOS X 10.4 à 10.4.2. Notamment, aucune ne concerne une version antérieure à Panther MacOSX 10.3.9. Les dommages éventuellement créés par une exploitation maligne de ces failles devraient donc s’avérer limités, Tiger étant encore jeune et sa base installée plus faible que celles des versions antérieures de MacOS X.Ou bien encore… Pour le WebKit, il a beau être en charge de l’interprétation du HTML dans tout le système, c’est à l’exception de certaines applications qui ont leur propre interprète (surtout des navigateurs web). Et combien d’applications utilisant le WebKit peuvent donner une URL piégée ? Attendez, je compte… Mail, Safari, et Visualisation Aide. On sait très bien que des liens malicieux se retrouvent très souvent dans l’aide d’un logiciel. Pour Mail, c’est déjà plus possible et Safari est la cible réelle, mais on se rend vite compte que ça n’affecte pas grand-chose… La faille de Mail (oulà, ici, VOUS avez fait une terrible boulette) pour le chargement des images à distance ne s’opère que lorsqu’on fait suivre le message ou qu’on l’imprime, et pas tout le temps, comme vous semblez vouloir le faire croire.Mais aussi… Pour un site qui veut traiter de la sécurité informatique, je m’étonne que vous preniez un ton aussi alarmiste pour ce qui n’est, somme toute, qu’un correctif mineur.Seriez-vous anti-Mac au point d’être aveuglé, ou avez-vous bâclé votre article? OS X est certainement un des systèmes les plus sûrs aujourd’hui – si cela n’excuse pas les failles, il est aussi bon de le rappeler.Voici donc pour l’auto-flagellation. Laissons désormais aux lecteurs le soin de se faire une opinion, au besoin en consultant l’alerte originale d’Apple. Pour le reste, cette brève au ton peu amène vis-à-vis d’Apple est essentiellement motivée par le risque de prise de contrôle du système. Certes, il ne s’agit pas de failles réellement exploitables à distance. Mais non, il ne s’agit pas non plus d’un simple « accident de parcours ». Le site Secunia , peu connu pour son sensationnalisme, considère cette alerte « hautement critique ». Et on le comprend bien : le simple fait d’être capable de prendre le contrôle de la machine à l’ouverture d’un document texte (.doc ou .rtf) suffit à qualifier une alerte de majeure. Ici, on a ça, mais aussi des dénis de service en prime et tout plein d’autres broutilles pour faire bonne mesure. Il ne s’agit pas d’un correctif mineur. Cela n’enlève rien à la pertinence des réactions ci-dessus. Mais veillons tout de même à ne pas minimiser cette alerte par pure idéologie.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.