Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Intego : Un bug du système de quarantaine de Mac OS X Leopard permet aux utilisateurs d’exécuter des pièces jointes hostiles à partir de Mail

novembre 2007 par Intego Security Alert

Exploit : OSX.Exploit.MetaData.B

Découverte : 20 novembre 2007

Risque : Faible

Description : Mac OS X 10.5 (Leopard) fournit un système de quarantaine destiné à prévenir l’utilisateur dès qu’il tente d’ouvrir des applications envoyées via Mail, Safari ou iChat ou contenues dans des images disques elles-mêmes transmises au moyen de ces programmes. Ce système prévient également l’utilisateur la première fois qu’il ouvre n’importe quelle autre application installée ou ajoutée manuellement à son dossier Applications. Le système est censé informer l’utilisateur en toutes circonstances lorsque de tels fichiers exécutables sont en cours d’ouverture, mais un bug du système de quarantaine, découvert par Heise Security le 20 novembre 2007, peut permettre à un utilisateur de lancer des pièces jointes, potentiellement hostiles, à partir de Mail.

Le système de quarantaine repose sur la base de données

LaunchServices de Leopard, dans laquelle sont enregistrées toutes les applications ou les fichiers exécutables ajoutés au Mac de l’utilisateur. Cette protection ne fonctionne toutefois pas correctement lorsque certaines pièces jointes exécutables sont réceptionnées par e-mail. L’exemple utilisé pour démontrer ce mécanisme est un script de shell contenu dans un fichier portant l’extension .jpg. Ce fichier contient également des informations, telles qu’une branche de ressources, indiquant l’application destinée à l’ouvrir (dans ce cas, il s’agit de Terminal). Le fichier dispose en outre de toutes les autorisations d’exécution appropriées.

Au sein de Mail, le fichier est affiché comme une pièce jointe dotée d’une icône JPEG indiquant que l’application Aperçu permet de l’ouvrir. Néanmoins, toute tentative d’afficher le fichier à l’aide de la fonction Quick Look (Coup d’oeil) montre qu’il ne s’agit pas d’un fichier d’image : Tout utilisateur recevant ce fichier peut être tenté de cliquer dessus pour en découvrir le contenu. Bien que pour les besoins de cette démonstration, la commande utilisée se contente d’afficher du texte dans une fenêtre de Terminal, il serait très facile de créer un Note de sécurité Intego – 21 novembre 2007 www.intego.com fichier similaire contenant une commande qui, si elle était exécutée dans Terminal, supprimerait tous les fichiers de l’utilisateur. Dès qu’un utilisateur clique sur la pièce jointe d’un message e-mail dans Mail, le programme conserve une copie de cette pièce jointe dans le dossier Bibliothèque/Téléchargements Mail de l’utilisateur. Ce dossier permet au Finder d’ouvrir ensuite la pièce jointe. Lorsqu’une pièce jointe hostile contenant un script et une branche de ressources (sa ressource usro indiquant au Finder d’ouvrir le fichier avec une application particulière) arrive dans Mail, un utilisateur peut ouvrir une première fois cette pièce jointe sans que Mac OS X n’affiche l’alerte de quarantaine. Si l’utilisateur ouvre la pièce jointe plus tard, l’alerte est affichée pour indiquer qu’il s’agit peut-être d’une application et pour informer l’utilisateur qu’elle sera ouverte dans Terminal.

Le bug à l’origine de ce problème est dû à la manière dont Leopard gère les quarantaines. La première fois qu’un utilisateur ouvre une pièce jointe, Mail ouvre directement le fichier sans passer par le système de quarantaine. En cas d’ouverture ultérieure de la même pièce jointe, Mail n’ouvre plus cette dernière directement, mais ouvre le fichier conservé dans le dossier Téléchargements Mail.

La situation empire si l’utilisateur reçoit un deuxième message contenant la même pièce jointe : aucune alerte n’est alors affichée. Comme la pièce jointe a été enregistrée dans le dossier Téléchargements Mail, mais à partir d’un autre message, Mail n’essaie pas d’ouvrir la pièce jointe d’origine, mais effectue une copie (nommée : -1, -2, etc.), puis ouvre cette pièce jointe sans aucun avertissement.

Tant que ce bug ne sera pas corrigé dans Mac OS X 10.5, les utilisateurs Mac courront le risque de recevoir des fichiers hostiles déguisés en fichiers d’image et capables de supprimer tous leurs fichiers ou de contenir des chevaux de Troie. Il est important que les utilisateurs n’essaient pas d’ouvrir les pièces jointes provenant d’expéditeurs inconnus, plus particulièrement celles qui accompagnent des messages de spam.

Intego VirusBarrier X4 et ses définitions de virus datées du 21 novembre 2007 assurent une protection contre ce problème. Comme ce bug permet d’exécuter des fichiers hostiles en un simple clic à partir de Mail, il est recommandé aux utilisateurs d’actualiser régulièrement leurs définitions de virus à l’aide de NetUpdate pour s’assurer qu’ils sont protégés contre tous les nouveaux exploits.




Voir les articles précédents

    

Voir les articles suivants