« Shrootless », une faille dans SIP découverte par Microsoft

Mickaël Bazoge |

SIP n'est pas la panacée pour éviter les attaques des malandrins. Ce système de protection de l'intégrité de macOS (SIP), présent depuis 2015 et macOS El Capitan, est une mesure qui empêche les applications d'avoir tous les droits sur le Mac, y compris quand celles-ci possèdent les droits root. Il est possible de désactiver SIP, c'est une opération aux risques et périls de l'utilisateur.

SIP n'est pas une barrière étanche, comme le démontre l'équipe de recherche en sécurité de Microsoft, qui a découvert une brèche dans le système baptisée « Shrootless » et numérotée CVE-2021-30892. Elle a été heureusement corrigée par Apple avec macOS Monterey (macOS 12.0.1), sur Big Sur avec macOS 11.6.1, et sur Catalina avec la dernière mise à jour de sécurité 2021-007.

Même avec SIP activé (ce qui est le cas par défaut), certains programmes peuvent modifier des binaires systèmes avec les droits root : c'est le cas des installeurs d’Apple et du Mac App Store. Ces autorisations temporaires pouvaient être exploitées par des brigands comme mécanisme d'élévation de privilèges. Ce qui en retour aurait pu leur permettre de réaliser des opérations dans le dos de l'utilisateur. Qu'on se réjouisse, ce n'est désormais plus le cas.


avatar Madalvée | 

"ce n'est désormais plus le cas"

Pour les utilisateurs qui maintiennent leurs systèmes à jour, oui. Mais quand je vois le défilé de vieilleries sur les forums MacGé…

avatar Lucas | 

« ce n'est désormais plus le cas » et c’est évidemment heureux !

Mais Catalina va jusqu’aux Macs de 2012, alors que El Capitan allait plus loin non ? Jusqu’à 2007 apparemment, je ne pensais pas si loin mais c’est ce qui dit Wikipédia, il y a peut-être une erreur ?

En tout cas est-ce que l’intégralité des machines qui ont eu SIP un jour sont-elles capables d’être mises à jour vers les dernières versions de Catalina, Big Sur et Monterey ?

Sans compter les utilisateurs qui ne peuvent pas pour des raisons d’incompatibilité, ou ne veulent pas pour tout un tas de raison, passer à Catalina, ne devrait-il pas y avoir une MàJ pour tout les systèmes si la faille est sérieuse ?

El Capitan c’est macOS 10.11 alors que Catalina c’est 10.14…

avatar Malouin | 

@Lu Canneberges

La perfection n’est pas de ce monde.
Ni chez Apple.
Et encore moins sur le trottoir d’en face.

avatar ⚜Dan | 

Premièrement, une faille dans macOS 11 ne veux pas dire qu'elle est présente dans macOS 10.15 lol
De toute façon avec 11.6.1 et Monterey c'est corrigé depuis déjà une semaine.

avatar occam | 

« Ces autorisations temporaires pouvaient être exploitées par des brigands comme mécanisme d'élévation de privilèges. »

232 ans après la Nuit du 4 Août, il est grand temps d’abolir, une fois pour toutes, tous les privilèges.

Qu’un Comité de Salut Révolutionnaire enquête sur les trahisons au sein du SIP et en épure tous les traîtres.
Aux ARM, SIPoyens ! Rootez vos installd !
Qu’un zshenv global Abreuve vos sudo !

(Ça ne rime pas, mais SIP ne rime pas davantage à grand-chose non plus.)

avatar r e m y | 

En grande forme, l'ami occam... c'est la fête du SIP! 😎

avatar Vaenoxis | 

@r e m y
Kek ☺️

avatar Artefact3000 | 

Je me demande…

Google, Microsoft, ils trouvent des failles sur les OS d’Apple.

Est-ce que l’inverse est aussi vrai?

avatar fabrice16 | 

@Artefact3000

+1 👍

avatar mat16963 | 

@Artefact3000

Ahha je me pose justement la même question plus bas… car il me semble pas que c’est le cas du côté d’Apple. Quelqu’un peut confirmer ?

avatar Artefact3000 | 

@mat16963

En tout cas, j’ai jamais lu de news à ce sujet.

Peut-être que ça arrive. Comme quelqu’un qui a vraiment vu un extraterrestre. 👽 😅

avatar IRONMAN65 | 

Ils z’ont pas des chercheurs de failles chez Apple 😳

avatar Rajindael | 

@IRONMAN65

Si, ils cherchent les fuites sur les annonces de nouveaux produit 🤡

avatar BooBoo | 

@IRONMAN65

Pourquoi le faire quand tes concurrents le font à ta place ?

avatar Mac1978__old | 

La semaine dernière, impossible de vider ma corbeille, même avec le Terminal et sudo. J’ai été obligée de désactiver temporairement SIP pour la première fois depuis que cette protection existe. Après, j’ai pu vider la corbeille.

Je dois dire que je me pose beaucoup de questions sur les raisons de de ce problème, puisque par définition SIP devrait éviter qu’un programme demande des droits pour le modifier.

avatar pocketalex | 

C’est la fête du SIP

avatar mat16963 | 

« Une faille Apple découverte par Microsoft ». Il n’est pas rare que Google, Microsoft et consort découvrent des failles pour le compte d’Apple, mais ce que je me demande (question sérieuse) c’est est-ce que l’équipe sécurité rapporte aussi des failles dans les produits Microsoft, Google et autres ?

avatar devkid | 

Voila byebye Mojave, le dernier Mac OS X à mériter son nom.

La suite n'est qu'une succession de bridages et d'incompatibilités oppressives.

T'as qu'a installer Linux ou Windows sur ton mac de 2011, et tu auras les derniers correctifs de sécu.....

Donnez nous les sources des anciennes versions de MacOS qu'on en parle plus !

avatar Moonwalker | 

Mojave c’était déjà macOS. Le dernier Mac OS X du nom était Lion.

avatar devkid | 

@Moonwalker
Pardon de l'erreur tu as tout à fait raison. Mais il reste pour moi le dernier à préserver la philosophie initiale.

Ils doivent patcher ce genre de failles au moins sur les systèmes présents initialement dans les machines d'il y a 5 ans (dès El Capitan).

Pour rappel, ex dans Yosemite, si tu n'as pas mis dxe compte Apple, la machine ne te propose pas d'update, jamais. Aujourd'hui des milliers d'utilisateurs de Yosemite n'ont plus accès à la totalité des sites webs HTTPS certifiés par Let's Encrypt (+/- 50% du web) , à moins d'injecter manuellement le nouveau certificat (encore heureux que cela soit possible ! )

Tout est fait pour passer au M1, alors que du Intel est toujours en vente. Ma prochaine update majeure sera LINUX...

Mais j'ai cette envie de savoir "bidouiller", nécessaire à TOUT changement d'OS, ce qui n'est pas le cas de tous, et grand bien leur en fasse.
De plus, certains métiers se retrouvent prisonnier de l'hégémonie Mac / Win, ça arrange bien les affaires de MicrosAftpple !

"Apple" c'est mon premier mot, il m'ont eu 30 ans, c'est fini.

Et pourtant le dernier MacBook Pro je le trouve magnifique, le meilleur même, mais je ne cautionne plus la politique.

avatar Moonwalker | 

Donc, la « faille » est présente dans macOS de El Capitan à Mojave… ainsi que dans tous les Mac OS X, OS X et macOS dépourvus de SIP, soit de 10.0 à 10.10. 😆

CONNEXION UTILISATEUR