Une nouvelle vulnérabilité vient d'être découverte sur macOS
Elle permettrait de compromettre l'entièreté du système d'exploitation

Le , par Bill Fassinou, Chroniqueur Actualités
En novembre 2017, une vulnérabilité avait été découverte sur macOS High Sierra par le développeur turc Lemi Ergin. Elle permettait de se connecter en tant que root sur un Mac sans mot de passe et sans aucune vérification de sécurité. Et elle fonctionnait aussi bien avec les Mac déverrouillés qu’avec les Mac verrouillés. Presque un an plus tard, une nouvelle vulnérabilité vient d’être découverte sur macOS. Il s’agit d’une faille zero-day qui pourrait potentiellement permettre à un attaquant de compromettre tout le système d’exploitation.


La vulnérabilité a été découverte par Patrick Wardle, directeur de la recherche de Digita Security et ancien hacker au service de la NSA. Elle provient des fonctionnalités d'accessibilité permettant aux utilisateurs d'interagir avec tout composant de l'interface utilisateur, y compris les messages de dialogue de sécurité, grâce à des clics virtuels (les événements synthétiques). Bien qu'en théorie, elles soient conçues pour aider les personnes handicapées, elles permettent également aux utilisateurs de cliquer sur les invites de sécurité et de charger les extensions du noyau. Un pirate pourrait également s’en servir pour contourner l’invite d’accès au trousseau et extraire les mots de passe. En un seul clic, d'innombrables mécanismes de sécurité peuvent donc être complètement ignorés, rendant ainsi vulnérable le système d'exploitation.

Après sa découverte, l’ex-hacker de la NSA a conduit une attaque basée sur cette faille. Et cette attaque a été menée avec succès sur un macOS équipé des derniers correctifs. « Ce bogue a permis de contourner la fonction de sécurité "User-Approved Kext" d'Apple, de supprimer tous les mots de passe du trousseau, de contourner les outils de sécurité tiers et bien plus encore. Et comme le patch d'Apple était incomplet, nous nous retrouvons avec une faille zero-day qui permet à un code non privilégié de poster des événements synthétiques et de contourner divers mécanismes de sécurité », a-t-il déclaré.

Apple a apporté un correctif à cette faille dans sa dernière version bêta de macOS Mojave. L’entreprise a complètement supprimé certains événements synthétiques et l'utilisateur peut aussi désactiver ou bloquer certaines fonctionnalités légitimes pour empêcher que des options de sécurité soient activées par des clics virtuels.

Sources : Speaker Deck, NIST

Et vous ?

Qu’en pensez-vous ?
Quelles autres solutions proposeriez-vous contre cette faille ?

Voir aussi

Une faille de sécurité de macOS High Sierra permet de se connecter en tant que root sans mot de passe, mais il existe un moyen de la contourner

Le RAT Coldroot, qui cible macOS, est resté indétectable par les solutions AV, alors que son code a été publié sur GitHub depuis deux ans déjà

Fonctionnalités clés liées aux développeurs introduites dans macOS 10.14 : apple note la dépréciation d'OpenGL et OpenCL

macOS : un bogue affectant le système de fichiers APFS pourrait causer des pertes de données d'après Mike Bombich

L'API pour les captures d'écran sur macOS pourrait être exploitée pour voler des mots de passe et autres informations sensibles, rapporte Felix Krause


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de iiro.eu iiro.eu - Futur Membre du Club https://www.developpez.com
le 17/08/2018 à 19:23
Des infos sur la date de sortie de la nouvelle version de MacOS ?
Avatar de chrtophe chrtophe - Responsable Systèmes https://www.developpez.com
le 18/08/2018 à 13:54
Mac OS 10.14 Mojave est prévu pour cet automne.
Avatar de CoderInTheDark CoderInTheDark - Membre expérimenté https://www.developpez.com
le 20/08/2018 à 14:20
Ca va être encore la faute des handicapés

Plus sérieusement l'accessibilité peut affaiblir la sécurité car elle propose des raccourcis ou des façons de faire plus simple, par exemple les catchas audios en remplacement des catchas images.
Et les catchas audios sont plus à la portée des machines.
Sur les sites bancaires les claviers aléatoires à base d'images ne peuvent pas être accessibles et sont remplacé par des liens discrets, dans les meilleurs des cas, par des versions adaptées.

Ils sont moins sûrs, car ce qui est accessible aux outils d'assistance est accessible aux programmes mal-veillants.

Mais le vrai problème, à mon avis, Est aussi que les fonctions d'accessibilités sont souvent bâclés et pas assez testées.
C'est aussi que ça ne représente pas beaucoup d'utilidateurs
Avatar de ismart ismart - Nouveau membre du Club https://www.developpez.com
le 03/09/2018 à 23:32
je suis d'accord avec se qui vient d'être dit, il ya un toujours un probleme au niveau des fonctions d'accessibilités a cause du manque d'implication.

________________________________________________________________________________
Mini Militia App Lock 7Zip

 
Contacter le responsable de la rubrique Accueil