Ce n’est pas parce que à SecurityVibes on aime beaucoup les Mac (d’ailleurs, il n’y a que ça ici !) que l’on doit passer sous silence l’incroyable série de vulnérabilités critiques tout juste corrigées par Apple. Des failles qui, jusqu’à présent, permettaient la prise de contrôle à distance et en beauté du Mac. Et les adeptes du PC ne seront pas dépaysés : on y retrouve l’essentiel des boulettes habituelles de Windows. Jugez-en vous-même :

• Exécution de code à la lecture d’un document piégé (via l’interprétation de polices de caractères OpenType ou régulières)
• Prise de contrôle à l’ouverture d’une archive bzip2
• Exécution de code à la visite d’un site web via l’affichage d’une image JPG ou TIFF piégée.
• Prise de contrôle à la lecture d’une image Canon RAW piégée (celle-ci mérite la palme de l’improbabilité !)
• Exécution de code à distance en interprétant un contenu XML servi par un site web malveillant (à cause de la bibliothèque libxml)
• Exécution de code (encore !) en utilisant la fonctionnalité QuickLook sur un document Excel piégé
• Exécution de code (toujours !) en visionnant un film piégé avec QuickTime

Ajoutons à cela deux vulnérabilités locales (une élévation de privilèges à cause d’une vulnérabilité du Kernel et la lecture arbitraire de n’importe quel fichier de la machine à cause d’une faille dans le système de fichier par défaut HFS+) et la barque est déjà bien chargée !

Mais ce n’est pourtant pas tout : Apple référence également une étrange vulnérabilité (CVE-2011-0190) selon laquelle la visite d’un site web piégé pourrait permettre l’installation d’un agent logiciel malveillant qui pourrait, lors du login d’un utilisateur, usurper la connexion de la machine pour faire croire qu’elle parle aux serveurs d’Apple. Nous avons du mal à saisir l’importance (ou non !) de cette vulnérabilité, n’hésitez pas à nous éclairer en commentaire si vous en savez un peu plus !

Enfin, cerise sur le gâteau, Apple annonce avoir ajouté une nouvelle signature à son outil de détection de codes malveillant. Il s’agit du cheval de Troie OSX.OpinionSpy, apparu en… juin 2010 ! Un an pour une signature, ça doit rigoler sec du côté des éditeurs d’antivirus !

Toutes ces vulnérabilités sont désormais corrigées par la mise à jour 10.6.7, disponible à l’installation dans le menu « Mise à jour de logiciels« .

Pour être entièrement honnête il faut toutefois reconnaître que ces vulnérabilités ne sont pas toutes du fait d’Apple, qui se contente bien souvent d’intégrer bon nombre de solutions Libres dans son système (c’est par exemple le cas de bzip2 ou de libxml ici). Mais il n’en demeure pas moins que cette liste montre à quel point il est simple de prendre le contrôle d’un Mac en dépit de la réputation (écornée) de sécurité de ce système. Mais cela vous le savez déjà si vous suivez l’actualité de la sécurité, notamment grâce aux travaux de Charlie Miller (le chercheur qui a notamment empoché 5000 dollars pour avoir cracké Safari en moins de dix secondes).

Moralité de cette histoire, sous forme de lapalissade : au delà des querelles de clochers la sécurité d’un système doit moins à sa réputation qu’à tous ceux qui recherchent et publient, souvent gratuitement, ses vulnérabilités. Merci à eux !