Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Intego : Un bug du système de quarantaine de Mac OS X Leopard permet aux utilisateurs d’exécuter des pièces jointes hostiles à partir de Mail

novembre 2007 par Intego Security Alert

Exploit : OSX.Exploit.MetaData.B

Découverte : 20 novembre 2007

Risque : Faible

Description : Mac OS X 10.5 (Leopard) fournit un système de quarantaine destiné à
prévenir l’utilisateur dès qu’il tente d’ouvrir des applications envoyées via Mail, Safari
ou iChat ou contenues dans des images disques elles-mêmes transmises au moyen de
ces programmes. Ce système prévient également l’utilisateur la première fois qu’il
ouvre n’importe quelle autre application installée ou ajoutée manuellement à son
dossier Applications. Le système est censé informer l’utilisateur en toutes circonstances
lorsque de tels fichiers exécutables sont en cours d’ouverture, mais un bug du système
de quarantaine, découvert par Heise Security le 20 novembre 2007, peut permettre à un
utilisateur de lancer des pièces jointes, potentiellement hostiles, à partir de Mail.

Le système de quarantaine repose sur la base de données

LaunchServices de Leopard,
dans laquelle sont enregistrées toutes les applications ou les fichiers exécutables ajoutés
au Mac de l’utilisateur. Cette protection ne fonctionne toutefois pas correctement
lorsque certaines pièces jointes exécutables sont réceptionnées par e-mail. L’exemple
utilisé pour démontrer ce mécanisme est un script de shell contenu dans un fichier
portant l’extension .jpg. Ce fichier contient également des informations, telles qu’une
branche de ressources, indiquant l’application destinée à l’ouvrir (dans ce cas, il s’agit
de Terminal). Le fichier dispose en outre de toutes les autorisations d’exécution
appropriées.

Au sein de Mail, le fichier est affiché comme une pièce jointe dotée d’une icône JPEG
indiquant que l’application Aperçu permet de l’ouvrir. Néanmoins, toute tentative
d’afficher le fichier à l’aide de la fonction Quick Look (Coup d’oeil) montre qu’il ne
s’agit pas d’un fichier d’image :
Tout utilisateur recevant ce fichier peut être tenté de cliquer dessus pour en découvrir le
contenu. Bien que pour les besoins de cette démonstration, la commande utilisée se
contente d’afficher du texte dans une fenêtre de Terminal, il serait très facile de créer un
Note de sécurité Intego – 21 novembre 2007 www.intego.com
fichier similaire contenant une commande qui, si elle était exécutée dans Terminal,
supprimerait tous les fichiers de l’utilisateur.
Dès qu’un utilisateur clique sur la pièce jointe d’un message e-mail dans Mail, le
programme conserve une copie de cette pièce jointe dans le dossier
Bibliothèque/Téléchargements Mail de l’utilisateur. Ce dossier permet au Finder
d’ouvrir ensuite la pièce jointe. Lorsqu’une pièce jointe hostile contenant un script et
une branche de ressources (sa ressource usro indiquant au Finder d’ouvrir le fichier avec
une application particulière) arrive dans Mail, un utilisateur peut ouvrir une première
fois cette pièce jointe sans que Mac OS X n’affiche l’alerte de quarantaine. Si
l’utilisateur ouvre la pièce jointe plus tard, l’alerte est affichée pour indiquer qu’il s’agit
peut-être d’une application et pour informer l’utilisateur qu’elle sera ouverte dans
Terminal.

Le bug à l’origine de ce problème est dû à la manière dont Leopard gère les
quarantaines. La première fois qu’un utilisateur ouvre une pièce jointe, Mail ouvre
directement le fichier sans passer par le système de quarantaine. En cas d’ouverture
ultérieure de la même pièce jointe, Mail n’ouvre plus cette dernière directement, mais
ouvre le fichier conservé dans le dossier Téléchargements Mail.

La situation empire si l’utilisateur reçoit un deuxième message contenant la même pièce
jointe : aucune alerte n’est alors affichée. Comme la pièce jointe a été enregistrée dans
le dossier Téléchargements Mail, mais à partir d’un autre message, Mail n’essaie pas
d’ouvrir la pièce jointe d’origine, mais effectue une copie (nommée : <nom de la pièce
jointe>-1, -2, etc.), puis ouvre cette pièce jointe sans aucun
avertissement.

Tant que ce bug ne sera pas corrigé dans Mac OS X 10.5, les utilisateurs Mac courront
le risque de recevoir des fichiers hostiles déguisés en fichiers d’image et capables de supprimer tous leurs fichiers ou de contenir des chevaux de Troie. Il est important que
les utilisateurs n’essaient pas d’ouvrir les pièces jointes provenant d’expéditeurs
inconnus, plus particulièrement celles qui accompagnent des messages de spam.

Intego VirusBarrier X4 et ses définitions de virus datées du 21 novembre 2007 assurent
une protection contre ce problème. Comme ce bug permet d’exécuter des fichiers
hostiles en un simple clic à partir de Mail, il est recommandé aux utilisateurs
d’actualiser régulièrement leurs définitions de virus à l’aide de NetUpdate pour
s’assurer qu’ils sont protégés contre tous les nouveaux exploits.


Voir les articles précédents

    

Voir les articles suivants