Faille dyld : pas besoin de mot de passe pour installer des malwares
Il n’aura pas fallu attendre longtemps pour qu’une attaque exploite la vulnérabilité dyld repérée la semaine dernière par le chercheur en sécurité Stefan Esser (lire : Une faille de sécurité dans Yosemite donne accès au Mac). La société Malwarebytes, qui édite des anti-malwares, a repéré un installateur malin qui s’infiltre sur le Mac en y laissant des adwares comme VSearch, une variante de l’indésirable Genieo, ou encore le pourriciel MacKeeper.
Le script qui exploite la faille dyld modifie le fichier de configuration sudoers, un fichier Unix caché qui détermine les autorisations root dans un shell Unix. La modification appliquée par le script sur ce fichier sudoers permet à l’application d’obtenir les permissions root sans qu’elle ait besoin d’un mot de passe, explique les chercheurs de Malwarebytes. C’est évidemment dans le contournement du mot de passe, rendu possible par la faille dyld, que réside le nœud du problème.
Tout cela est « évidemment de très mauvaises nouvelles », déplore la société. Apple est au courant de la situation : la faille n’existe pas dans les préversions d’OS X El Capitan, mais elle est toujours présente sous OS X 10.10.4 et les betas d’OS X 10.10.5. Mais l’urgence qui pointe va peut-être pousser les ingénieurs de Cupertino à livrer un correctif dès la version finale d’OS X 10.10.5. En attendant, Stefan Esser a développé un patch, mais on préfèrera installer le correctif officiel… en espérant qu’il arrive rapidement.
Et quid des versions antérieures d'OS X? (Voire de MacOS X....)
C'est uniquement cette bouse de Yosemite (10.10) qui est touchée !
Les OS avant sont saufs et meme 10.11 (el Capitan) est sauf.
Rappelons que comme c'est le cas sur Mac jusqu'a présent, il faut que l'utilisateur installe un malware (trojan) ou qu'un pirate ait un accès local a la machine pour utiliser la faille. C'est pas un virus comme sur Windows!
Quand on dit que Yosemite c'est le Vista d'Apple, c'est pas juste une plaisanterie... n'utilisez pas Yosemite, attendez 10.11!
comment ça se fait qu'un truc comme MacKeeper puisse encore exister "tranquilou" au nez et à la barbe de tous sans que personne ne fasse rien ?
il est plus urgent de sanctuariser le copyright que de stopper ceux qui profitent des gens.
-
les services de paiement (mastercards, paypal, etc, puis les banques) seront beaucoup plus rapides pour jeter un pornographe ou un hébergeur dépassés par les événements que de cesser les paiements d'un trojan.
Y a des priorités dans la vie quoi.
Pour moi MacKeeper va beaucoup trop loin dans dans le pourriciel/arnaque. Mais peut être que je me trompe, je ne suis pas avocat.
...déjeuner en paix
@XiliX
Non, cela c'est Stephan Eicher :-)
Comme quoi, aucun système n'est à l'abris - et comme, en plus, pas mal d'utilisateurs de Mac, par choix, ne sont pas "génie de l'informatique" (c'est pour ça, peut-être, qu'ils achètent du Mac) : il se font facilement appâté par des pubs pour "améliorer/nettoyer" leur OS (avec MacKeeeper par exemple ?). Et comme, en plus, on leur a fait croire : "t'en fais pas, Mac OS, c'est pas comme Windobe, t'auras jamais de virus") - ils n'hésitent pas vraiment à installer des malware volontairement.
Donc, comme d'hab, quel que soit le système : le (principal) virus, c'est ce qu'il y a entre le clavier et la chaise...
eux qui s'y connaissent pas en informatique n'ont rien à protéger dans leur machines aussi. c'est lié.
si t'a des choses à cacher tu apprend à te protéger. c'est comme à la maison, les riches ont des coffres forts, les pauvres des portes ouvertes.
Ah bon ? Même un si il n'est pas geek, un utilisateur "lambda" peut avoir pas mal d'infos personnels dans son Mac (Journal, photos, autres notes perso, etc...) qu'il n'a peut-être pas envie de voir trainer dans la nature (question de vie privée).
Ce genre de remarques - digne du livre 1984 - me fait gerber...
la vie privée d'une personne ordinaire n'a aucun intérêt pour personne. ça fait pas gagner d'argent.
@marenostrum:
Au fait, qu'appellez-vous une "personne ordinaire"?
@marenostrum:
"si t'a des choses à cacher tu apprend à te protéger"
Mais si tu commences à apprendre en installant Mackeeper, t'es mal barré...
Apprendre est un processus...
Chercher à se protéger ne veut pas dire se protéger...
Sinon, il y a des riches qui feront toujours confiance au matelas de leurs débuts et des pauvres qui placeront leurs valeurs dans un coffre à la banque : votre lien n'est pas du évident...
quand t'as des choses à cacher, t'es d'abord intelligent. tu vas pas installer un truc comme Mackeeper parce ça fait pas sérieux. vous parlez des gens ordinaires. eux ils peuvent faire confiance à ce logiciel. mais comme j'ai dit, eux ne gagnent pas d'argent ou autre chose de plus sérieux avec leur machines, donc pas besoin de bien se protéger.
ce qui embête le plus les gens ordinaires c'est les pubs intempestives dans leur navigation internet. rien d'autre.
@marenostrum:
Concernant Mackeeper, je vous avoue que j'en ai entendu parler pour la première fois aujourd'hui et n'ai pas même regardé si ça avait l'air sérieux... Vous oubliez cependant tous les "gens ordinaires" qui ont beaucoup à perdre à cause de la dématérialisation de leurs données, de leur argent, mais qui n'ont pas pour autant la culture informatique que vous avez...
J'en connais qui se sont fait piller leur compte et actions parce que leurs banquiers (qui visiblement n'y connaissaient rien en informatique) ont fait confiance à des ordres donnés par une adresse de type prénom.nom@domaine.com, je connais aussi des médecins qui ont tous les renseignements sur leurs patients stockés en réseau et sans sécurité particulière...
Bref, le problème n'est pas d'avoir besoin de protéger, mais bien celui de savoir que c'est nécessaire et de savoir comment le faire... Ça s'apprend bien sûr, mais le lien n'est pas évident pour qui n'a pas cette culture informatique...
Heureusement, Tim Cook prend très au sérieux la sécurité des données des utilisateurs de ses produits; donc tout va bien.
Une info au passage... L'excellent Adware médic a été racheté par malwarebyte. Après, je sais pas si c'est une bonne ou une mauvaise nouvelle.. Sur Pc malwarebyte a bonne presse.
Je ne comprends pas comment Apple peut laisser MacKeeper continuer à pourrir la vie de ses clients.
@Orus :
Grave..
Perso ce qui m'inquiète c'est pas Genio ou autre MacKeeper que l'on peux vider en quelques clics bien placés mais l'accès root à mon mac. Après chacun voit la sécurité de son Mac comme bon lui semble
Ce qui m'étonne aussi, c'est que vous (MacG) écrivez "pourriciel MacKeeper" mais que vous faites de la pub pour ledit pourriciel...
Heureusement, Tim Cook prend très au sérieux la sécurité des données des utilisateurs de ses produits; donc tout va bien.
Il ne faut pas oublier de signaler que Stefan Esser est une petite merde qui a balancé le code en live sans en référer au préalable à Apple.
Et oui, c'est ainsi que sont remerciés les lanceurs d'alerte.
Ce n'est pas très gratifiant de prevenir le monde de la dure réalité et d'apporter un correctif par dessus le marché.
Il vaut mieux passer sa découverte sous silence et la monnayer à une mafia quelconque.
Comme ça on devient riche et on ne se fait pas traiter de petite m***de par des fanatiques aveugles.
Ce n'est pas un lanceur d'alerte. C'est un pompier pyromane.
Ce type qui s'est déjà illustré dans le jailbreak est en mal de reconnaissance. Il est en froid avec Apple. Il estime qu'il devrait avoir du fric pour son travail de recherche, et donc trouve naturel d'exposer sciemment les utilisateurs à une faille zéro-day parce qu'il est en désaccord avec la politique d'Apple.
http://www.intego.com/mac-security-blog/yosemite-zero-day/
Comportement de merde par une merde.
Je préfère encore les officines qui vendent leurs trouvailles aux gouvernements (même les plus abjects) à ce type qui lâche des bombes dans la nature sans ce soucier des gens qui en seront les victimes et essaye après de se faire passer pour le sauveur du monde.
Pour le dernier paragraphe :
Je ne comprend pas du tout ce point de vue.
Divulguer l'information, c'est au contraire s'assurer que le problème va être corrigé très vite.
Mais toi tu préfère que ça reste inconnu du grand public et que ce soit exploité par quelques gouvernements mal intentionné ou mafias.
Incompréhensible.
Il va falloir s'y faire.
On est dans le monde de l'information et les informations circulent.
La seule question pertinente est de savoir à qui les donner.
Les rendre publique est de loin la meilleure chose.
Non. Divulguer l'information dans ces conditions c'est exposer les utilisateurs à des margoulins. C'est ce qui arrive dans cette news.
Le problème n'est pas de dire "il y a une faille", ce n'est même pas de dire "il y a une faille dans le DYLL qui permet telle chose si on fait tel truc".
Le problème n'est pas non plus qu'un chercheur après avoir signalé un problème à Apple publie trois mois plus tard un billet pour se plaindre que celui-ci n'est toujours pas réglé.
Le problèmes c'est qu'il a donné la méthode complète du hack sans en référer au développeur (Apple).
D'une simple vulnérabilité il a fait une faille zero-day sur un OS grand public. Sciemment, sans se soucier des conséquences pour les utilisateurs dont visiblement il n'a rien à foutre.
Quant à son patch, il n'est pas validé. Quelle est son efficacité ? Que compromet-il d'autre ? Quelle incidence sur le fonctionnement d'OS X et sur les logiciels tiers ? On n'en sait rien.
Alors oui, à la limite, j'aurais préféré qu'il vende son truc à la N.S.A. et qu'il ferme sa gueule. C'est plus franc. C'est le salaud qui s'assume. Et puis je ne me fais aucune illusion quant à la résistance de OS X à l'attaque des agences gouvernementales.
Par contre, donner ainsi à MacKeeper et autres saletés qui empoisonnent la vie des utilisateurs les moins avertis les moyens d'être encore plus nuisibles, c'est simplement dégueulasse.
@macinoe :
Il n'a pas écrit ce correctif. Il a repris la correction d'Apple qu'il a trouvée dans El Capitan et l'a emballée dans un patch.
De plus ce triste personnage a le culot d'écrire au moment où il publie le mode d'emploi détaillé de la faille à destinations des criminels qu'il ne sait pas si Apple est au courant.
Dans d'autres domaines on parlerait d'incitation au crime.
:-/
C'est curieux que tu recommences à essayer de faire croire à cette théorie, alors qu'une partie des contributeurs de macbidouille ainsi qu'une partie de la rédaction t'as déjà démontré que c'est complètement faux.
De là à croire que tu ne cherches pas la vérité, mais simplement à désinsformer, il n'y a qu'un pas.
Je ne sais rien de la nature de son patch mais concernant la divulgation en live du hack sans en informer Apple, il le revendique clairement (voir le lien que j'ai mis plus haut).
Du calme, tout le monde!
On s'entend plus vendre des Apple Watch avec tout ce bruit. Ce petit peuple est d'un vulgaire!