Une vulnérabilité dans l’utilitaire open-source sudo présent sur Linux et MacOS X permettrait à un attaquant d’obtenir aisément les droits administrateurs.

Il lui suffirait pour cela d’invoquer la commande sudo (qui permet à un utilisateur non-privilégié d’exécuter des commandes normalement réservées à l’administrateur) puis de réinitialiser l’horloge du système.

Si sur le papier cette vulnérabilité touche aussi bien MacOS X que Linux, ce dernier est malgré tout largement moins impacté car contrairement aux Macs un utilisateur non-privilégié ne pourra changer l’heure système sous Linux.

Par ailleurs seules les versions 1.6.0 à 1.7.10p6 et 1.8.0 à 1.8.6p6 inclue sont concernées. Sudo 1.8.6p7 et 1.7.10p7 corrigent cette vulnérabilité. Mais tandis que les utilisateurs Linux sont à même de mettre à jour un utilitaire individuel sur leur machine, ceux sous Mac n’ont généralement pas l’habitude de mettre leur système à jour à la carte (et ce n’est d’ailleurs pas toujours possible !). La vaste majorité est donc dépendante d’une mise à jour du système par Apple, qui ne se montre manifestement pas très pressé de corriger cette vulnérabilité. Toutes les versions récentes de Mac OS X, y compris la toute dernière (10.8.4) sont donc vulnérables.

Seul (léger) motif de réconfort : si l’utilisateur ne s’est jamais authentifié via sudo, la vulnérabilité n’est pas exploitable sur sa machine.

Plus d’information :
L’alerte sur le site officiel de sudo (en anglais)