Ouvrir le menu principal

MacGeneration

Recherche

Homebrew a corrigé une faille de sécurité dangereuse, mais jamais exploitée

Nicolas Furno

mardi 27 avril 2021 à 13:30 • 10

Logiciels

Homebrew est un gestionnaire de paquets créé pour macOS, un outil qui permet d’installer des apps graphiques ou non en passant par le terminal. Il est très populaire sur les ordinateurs vendus par Apple, si bien que l’annonce de la découverte d’une faille de sécurité le concernant a de quoi inquiéter. Pas de panique toutefois, même si la faille était potentiellement dangereuse, elle a été corrigée la semaine dernière et n’a jamais été exploitée.

La faille a été découverte par Ryoktak, un chercheur en sécurité japonais qui décrit un scénario effrayant. Il a trouvé un moyen d’infecter le dépôt GitHub qui contient la liste des apps macOS que Homebrew peut installer pour faire en sorte que la commande brew exécute du code arbitraire à chaque exécution. Dans sa démonstration, il s’est contenté d’afficher un message, mais on pourrait imaginer le pire, l’exécution d’un script qui contaminerait le Mac.

Dans la preuve de concept fournie par le chercheur en sécurité, chaque utilisation de la commande brew affiche un message, ici surligné en bleu. N’importe quel code en Ruby aurait pu être exécuté à ce moment-là.

Pire, ce code en Ruby est exécuté en premier à chaque utilisation de la commande brew. Concrètement, cela aurait pu facilement permettre de bloquer le processus de mise à jour de la ligne de commande, empêchant ainsi toute correction de la faille de sécurité. Face au danger, on comprend que les développeurs de Homebrew n’aient pas trainé et la faille de sécurité a été corrigée en un jour seulement.

La bonne nouvelle, c’est qu’on sait que cette faille n’a jamais été exploitée. Puisqu’elle repose sur un défaut dans la conception d’un dépôt GitHub, on peut facilement vérifier grâce à son historique que personne ne l’a utilisée, à part le chercheur en sécurité avec une démonstration réalisée il y a quelques jours. C’est le seul cas dans le dépôt, ce qui veut dire qu’aucun Mac utilisant Homebrew a été contaminé par le passé.

Et pour éviter que cela se reproduise, les responsables du projet ont annoncé plusieurs changements, le plus important étant la validation manuelle systématique de tous les changements apportés au dépôt GitHub concerné. La faille de sécurité reposait sur un processus de validation automatisé qui permettait d’alléger la charge de travail. Avec une validation humaine, les mises à jour demanderont un petit peu plus de temps, mais cela renforcera la sécurité du projet.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

La communication d’Apple est stricte... mais à quel point ?

30/07/2025 à 21:30

• 9


Les contenus pour adultes bloqués en grande partie sur X à cause du Royaume-Uni

30/07/2025 à 19:20

• 16


Apple contre-attaque : “Nos choix sont au service des utilisateurs, pas contre la concurrence”

30/07/2025 à 18:15

• 31


Les sex-toys connectés de Lovense laissent fuiter l'adresse email des utilisateurs

30/07/2025 à 17:27

• 34


Vous adorez les tableurs ? Cette app en glisse gratuitement un dans la barre des menus de macOS

30/07/2025 à 17:11

• 14


Un disque dur externe de 20 To en promotion à 313 €

30/07/2025 à 14:55

• 10


Apple met en avant un smartphone pliable sur Weibo… mais ce n’est pas un iPhone [🆕 : l'erreur vient de Weibo]

30/07/2025 à 14:13

• 6


La Nintendo Switch 2 est à 440 € sur Amazon, en stock

30/07/2025 à 13:37

• 43


Un nouvel écran 5K chez Philips, avec du Thunderbolt 4 et un prix correct

30/07/2025 à 12:30

• 25


Photoshop permet enfin d’agrandir une image sans (trop) perdre en qualité, grâce à l’IA bien sûr

30/07/2025 à 12:08

• 14


Fuite de cerveaux chez Apple : un quatrième chercheur IA part chez Meta

30/07/2025 à 07:45

• 59


Une déclinaison spéciale MacGeneration pour l'iPhone 17 Pro ?

30/07/2025 à 06:52

• 52


Safari 26 bêta disponible pour macOS Sequoia et Sonoma

29/07/2025 à 23:15

• 8


Elgato lance une webcam 4K avec des filtres amovibles

29/07/2025 à 21:15

• 16


Vacances connectées : un climatiseur portable et autonome pour rafraîchir la tente

29/07/2025 à 20:39

• 48


Soirée mise à jour chez Apple : iOS 18.6, iPadOS 18.6, macOS 15.6, watchOS 11.6 et cie sont disponibles au téléchargement

29/07/2025 à 19:19

• 29