Une démonstration de ce qu'il est possible de faire a été mise en ligne par le site. Cette vulnérabilité utilise une fonction de script de l'application d'Aide intégrée à Mac OS X. Le lien déclenchant son ouverture n'est pas en lui-même bien effrayant, ainsi que le notent quelques utilisateurs qui se sont essayé au jeu. Mais suite à cet exemple, les possibilités de cette nouvelle brèche ont été expliquées plus avant par le site bronosky. L'effet obtenu est impressionnant : le script ouvre l'application Terminal et lance un catalogage de fichiers disponibles sur votre machine par le biais de la fonction du (disk usage, ndlr), bien connue des utilisateurs d'Unix. Le site donne d'autres exemples comme la possibilité d'observer la liste des applications ouvertes et les ressources qu'elles utilisent, ou de lancer un script donnant la date et l'heure.
Des rectifications difficiles pour un utilisateur néophyte - Le résultat est là : la démonstration est faite qu'il existe bel et bien des trous sérieux dans le système d'Apple. La firme ne le dément d'ailleurs pas. "Nous prenons la sécurité très au sérieux à Apple et nous sommes en train d'investiguer activement ce problème de sécurité potentielle. Bien qu'aucun système d'exploitation ne puisse être totalement protégé de quelque menace que ce soit, il est établi qu'Apple identifie et corrige rapidement les vulnérabilités potentielles", a déclaré la firme à nos confrères de Maccentral. La société a été avertie originellement le 23 février dernier, selon le site Fundisom. Techniquement, c'est la manière dont Mac OS X traite certaines URL et plus spécifiquement par le biais des fonctions "help" et "disk" qui sont exploités sur les dernières alertes connues par les utilisateurs de Mac. Pas de quoi fouetter un chat : chacune de ces deux utilisations détournées dispose déjà d'une parade. Dans le premier cas, il faut modifier l'application qui s'ouvre quand un fichier téléchargé y fait appel. Dans l'autre, il faut modifier une ressource perdue au fin fond du système. Des rectifications difficiles pour un utilisateur néophyte.
Reste le fond du problème : la menace est-elle si pressante que les utilisateurs de Mac aient à sonner le tocsin et à se déconnecter de l'Internet ? Pas encore : pour le moment, même si un développeur ingénieux réussissait à créer une application malicieuse, encore faut-il la répandre. Et pour le moment, si tout prouve que des armes dévastatrices peuvent également exister sur Mac, aucune démonstration de vecteur massif de ces armes n'a été faite. Pour un utilisateur averti, la parade s'avère simple : un peu de vigilance et de bon sens suffisent.
» Bulletin K-OTik.COM : Mac OS X URI Handler Arbitrary Code Execution Vulnerability
|