Une première faille dans le système de sandboxing d'OS X Lion

Anthony Nelzin-Santos |
skitchedAu printemps prochain, les applications du Mac App Store devront utiliser le sandboxing : elles ne pourront plus sortir d'un bac à sable leur laissant un accès limité aux données et au système, au bénéfice théorique de la sécurité de l'utilisateur (lire : OS X Lion : comprendre le casse-tête du sandboxing). Un bénéfice théoriquement seulement : le sandboxing est un système très imparfait et les chercheurs de CoreLabs Research ont déjà trouvé une faille dans celui d'OS X Lion.

Le principe du sandboxing repose sur la limitation des accès aux données et au système par un jeu de « permissions » : les apps doivent déclarer les fonctions dont elles ont besoin, et ne peuvent théoriquement pas accéder aux autres. CoreLabs a néanmoins trouvé une faille par laquelle les apps peuvent outrepasser leurs droits, et donc sortir de leur bac à sable.

sandboxingCette faille consister à utiliser osascript (un mécanisme pour exécuter des AppleScripts) pour déclencher des Apple Events permettant à launchd (le framework contrôlant le lancement, la gestion et l'arrêt d'applications, processus et démons) de démarrer un nouveau processus. Ce nouveau processus n'étant pas un enfant du processus sandboxé, il est créé sans aucune restriction et peut donc agir hors du bac à sable. Dans un exemple, une application sandboxée qui n'a pas le droit d'accéder au réseau utilise un simple AppleScript pour ouvrir une connexion, c'est-à-dire faire ce qu'elle n'a théoriquement pas le droit de faire.

Cette faille en rappelle une autre, découverte par Charlie Miller sur iOS en 2008, et se limite à certaines permissions, notamment celles autour de l'accès au réseau. Apple avait à l'époque corrigé le tir (en supprimant simplement la possibilité d'utiliser les Apple Events), mais semble cette fois-ci ne pas s'y intéresser. Elle a simplement mis à jour sa documentation pour préciser certains points de fonctionnement du sandboxing en rapport avec cette possible escalade des murs dressés autour du bac à sable. Un bac à sable qui, en l'état, n'apporte plus grand-chose en matière de sécurité.
Tags
#sécurité #sandboxing
avatar nogui | 
@lechat666 "des pages et des pages de forums un peu partout dans le monde qui se plaignent de bugs de compatibilités avec differents logiciels pro ou pas, problemes hardware + lion etc... Si ça marche chez toi et bien c'est super, c'est pas le cas chez tout le monde." Oui, mais combien de temps a mis SL pour être vraiment stable ? Si on raisonne comme çà on serait encore sous MACOSX 10.0 !! Et puis c'est comme à chaque fois, on parle des mécontents mais on ne tient pas compte des contents ... Et c'est très simple à expliquer, les mécontents le font savoir donc çà prend plus d'ampleur, les autres n'éprouvent pas forcement le besoin de le crier sur les toits .. Ce que je voudrais vraiment c'est un sondage sur TOUS les utilisateurs de Lion, mécontents ET satisfaits ! Après on discute ... Pour finir: Si ça marche pas chez toi et bien c'est dommage, c'est pas le cas chez tout le monde.
avatar Orus | 
C'est fou comme certains deviennes agressif dès que l'on critique un tant soit peu leur "cher" Apple. Il croit faire taire les critiques de cette façon ? Eh bien, non. Lion est un boulet et nous ne voulons pas que nos Mac se transforment en iBidule.
avatar apenspel | 
[quote="sinbad21"]Qu'est-ce que vous avez tous avec Lion ? Ce système marche à la perfection, je ne comprends pas qu'on s'accroche à Snow leopard, à part pour faire tourner des vieilleries sous Rosetta.[/quote] Tu n'as manifestement qu'un seul écran et tu n'utilises que des iApps. Il y a des pros dans l'assistance, tu sais ! Et pour eux, le plein écran, c'est de la daube pour iPad. Puis Rosetta est encore grandement nécessaire pour plein de choses. En tout cas pour ceux qui bossent.
avatar nogui | 
@orus "C'est fou comme certains deviennes agressif dès que l'on critique un tant soit peu leur "cher" Apple. Il croit faire taire les critiques de cette façon ? " Qui a été agressif ? On dirait le face-à-face des présidentielles quant un des 2 ne sait plus quoi dire "- Mais ne soyez pas agressive" "- Mais je ne le suis pas" "- Mais si vous l’êtes " "- etc .." Critiquer .. pas de problème , mais avec un peu de vrais arguments c'est mieux , non ? Dès qu'on n'est pas d'accord c'est de l’agressivité ? ha bon ? OK ... "Eh bien, non. Lion est un boulet et nous ne voulons pas que nos Mac se transforment en iBidule. " T'as quel âge ?? :) Tu as oublié "Na" à la fin .
avatar lechat666 | 
@nogui : on se detend mon ami, désolé d'avoir critiqué ton Lion bien aimé. Il marche pas chez moi c'est tout, je m'en moque je suis retourné sur SL. j'en ai pas fait tout un foin, je répondais à Sinbad21. va courir un peu dehors, deux, trois pompes, en pyjama et au lit :)
avatar nogui | 
@lechat666 "va courir un peu dehors, deux, trois pompes, en pyjama et au lit :)" OK tu viens avec moi ?? Non pas au lit ! courir un peu ! :) Ca calmera mes ardeurs .. et ta susceptibilité :))
avatar Mabeille | 
@BeePotato je parle de légendes et de mythes qui: pas de virus sur Mac... c'est un des premiers arguments que te sors un vendeurs Mac et un acheteur ... en omettant le reste.. si toi tu le dis bravo mais tu fais parti de la minoritté. Ensuite on m'explique que la filiation Unix donne à Mac os x une robustesse à toutes épreuves ... pour ma part je sais bien de quoi il en retourne c'est mon boulot, et je ne me laisse pas leurrer par l'Unix touch ... mais je ne suis pas un utilisateur de base et de loin pas une référence, apparemment toi non plus... le mythe pas de virus et unix résistant est tjs de mise. Les légendes et les mythes ont la vie dure ne t'en déplaise. Je me met donc en faux par la pratique à tes explications.
avatar Mabeille | 
@rom54 ça ne change rien connaissance ou pas le propos n'est pas là... il ne faut juste pas surévaluer la robustesse d'un os ou d'un autre. C'est pas plus dur que ça. Et perso j'en ai un peu marre de devoir rectifier les mac users avec le maissss y a pas de virus .... non y a pas de virus mais de chevaux de Troyes .... pfffffffff Comme arguments de vente on fait mieux et sans doute moins tendancieux. Je ne juge en rien des capacités des uns et des autres, d'autant que ce genre d'activité sont devenus professionnelles.
avatar Mabeille | 
@nogui .... euh blasé par tes réponses
avatar clem95 | 
Si la sandbox est trop lourde ils n'ont qu'à lacher du leste
avatar Mister_sam32 | 
@Zouba Avant de te permettre de critiquer les autres, renseigne toi ! Des virus, il y en a ! Des chevaux de Troyes, il y en a ! Des hackeurs qui ont du temps a tuer, il y en a ! Comme je l'ai dit, AUCUN système n'est infaillible ! Après au moins Apple essaye de le renforcer, OK Mais de façon " invisible " pour l'utilisateur ! ( pas de demande de mot de passe a chaque clique ! )
avatar nogui | 
@Mabeille "euh blasé par tes réponses" Moi aussi .. surtout quand tu te prends trop au sérieux, en justifiant tes propos , non pas par des arguments, mais juste par ton "statut" : - "pour ma part je sais bien de quoi il en retourne c'est mon boulot" - "Et perso j'en ai un peu marre de devoir rectifier les mac users " Heureusement que tu es là ...
avatar kazede | 
@clem95 "Si la sandbox est trop lourde ils n'ont qu'à lacher du leste" mdr
avatar rom54 | 
@VTS [14/11/2011 12:44] "les hordes de PC zombies ne sont que sous Windows..." Majoritairement plutôt, tu ne te rappels pas en 2009 du réseau de zombies composé de 20K ou 25K de Mac ? Effectivement,j'y pensais plus a celle la, merci pour le rappel... Il y a bien eu selon Symantec un ensemble de 20000 Mac sur lesquels tournaient des versions crackees d'iWork et Photoshop dont le code comportaient un trojan permettant potentiellement de lancer un attaque... Pour autant il ne s'agissait pas de virus mais bien de trojan installe explicitement par des utilisateurs et ne faisant appel a aucune faille... Et ça peut recommencer n'importe quand, meme avec un sandbox ou tout autres protections, vu le cote bavard de Photoshop, l'utilisateur et meme les pro ont du mal a savoir ce qu'il balance, donc c'est une très bonne cible... - Little Snitch et faire attention a ce que l'on installe sur son Mac... Mais on est quand meme loin des petites bombes virales comme Duqu capablent de tourner sur toutes les versions de Windows...
avatar VTS | 
@rom54 "Mais on est quand meme loin des petites bombes virales comme Duqu capablent de tourner sur toutes les versions de Windows... " J'ai pas dit le contraire, c'tait juste pour dire que Windows n'est pas la plateforme exclusive des zombies, mac os aussi et même Linux en mange :) Même sous windows les virus qui viennent pour tous foutre en l'air ça fait longtemps que c'est une espèce menacée. Ça rapporte pas de sous aux créateurs de faire ça, normal.
avatar Jef-67 | 
On ne le dira jamais assez : La principale faille de sécurité se trouve entre la chaise et le clavier.

Pages

CONNEXION UTILISATEUR