En novembre dernier, nous évoquions dans nos colonnes la faille Rootpipe, présente dans au moins les trois dernières moutures d’OS X, dont Yosemite. La dernière révision majeure de ce dernier, estampillée 10.10.3, a bien refermé la faille. Malheureusement, elle reste ouverte sur les systèmes plus anciens.
Une faille dans une API non documentée
La faille Rootpipe a été nommée ainsi par celui qui l'a découverte, Emil Kvarnhammar, chercheur en sécurité chez Truesec. Il avait mis la main sur cette brèche à la mi-octobre et avait averti immédiatement Apple. Exploitée, elle permettait à un utilisateur de provoquer une escalade de privilèges, y compris depuis un compte utilisateur classique, afin d’obtenir des droits de type root.
Mais contrairement au mois de novembre dernier, les détails de la faille sont maintenant connus. C’est notamment le cas pour son exploitation, qui peut donc se faire depuis un compte classique. Une différence marquante avec les informations publiées il y a quelques mois, quand le conseil donné était juste d’éviter les comptes administrateurs, ce qu’OS X crée toujours pour le premier utilisateur d’une machine après son installation.
La faille est relative à ce qui ressemble à une API (Application Programing Interface) non documentée, mais qu’Emil Kvarnhammar n’hésite pas à décrire comme une porte dérobée cachée dans le code. Dans un billet publié hier, il revient sur la fameuse faille, indiquant que l’API en question est présente depuis au moins 2011 dans OS X et a probablement été créée pour être utilisée par les Paramètres Système. Techniquement, tant que la faille n’est pas colmatée, elle peut être utilisée par n’importe quel processus utilisateur.
La seule solution ? Migrer vers Yosemite 10.10.3
Le chercheur pensait initialement qu’il fallait avoir un accès physique à la machine pour exploiter Rootpipe, mais les derniers mois lui ont fait changer d’avis. Il s’est « amusé » avec la brèche en cherchant notamment à en profiter depuis une machine distante. D’une part, il s’est aperçu qu’en combinant Rootpipe avec d’autres failles, il était possible de déclencher l’escalade des privilèges depuis un compte classique. D’autre part, avec un pirate connaissant le moyen de sortir de la sandbox d’un navigateur, la faille devient même exploitable via un site spécialement conçu.
Le problème est corrigé avec la grosse mise à jour 10.10.3 publiée mercredi soir par Apple. Le problème est que toutes les autres versions d’OS X restent vulnérables et la firme ne communique pas sur le sujet auprès des utilisateurs. La seule recommandation possible est alors de migrer vers Yosemite et d’installer la dernière mise à jour. Mais tout le monde ne le peut pas, soit parce que le Mac est un peu ancien, soit tout simplement parce qu’ils ne veulent ou peuvent pas migrer dans l’immédiat. Yosemite a en effet une réputation légèrement ternie à cause de certains ralentissements et bugs divers.
D’un côté, on peut donc estimer qu’Apple aurait dû faire le travail de correction pour ses autres systèmes. On peut d’autant plus s’en étonner que chaque nouvelle mise à jour majeure s’accompagne généralement de correctifs pour les OS X plus anciens mais encore supportés. De l’autre côté, comme indiqué par Emil Kvarnhammar, cette modification aurait représenté pour Apple une somme importante de travail, la firme précisant alors qu’elle ne serait pas répercutée sur les versions antérieures.
Commentaires (45)
#1
#2
Faille NSA, six mois pour mettre à jour, pas du support pour les anciens systèmes =foutage de tronche….
Etc
" />
#3
Vincent a écrit: “La seule solution ? Migrer vers Yosemite 10.10.3” …
Le seul soucis, c’est que Yosemite a assez mauvaise réputation parmi les utilisateurs professionnels …
(voir certains commentaires sur MacBidouille sur le sujet)
#4
Plus sérieusement, les failles de contournement pour la sandbox du navigateur ne peuvent pas être colmatées à distance ?
Ça reglerait pas mal de soucis pour ceux qui ne sont pas sur Yosemite et utilisent Safari (si le contournement s’effectue avec lui).
#5
Je ne comprends pas , on n’est plus ‘Dredi …
#6
“Apple ne communique pas”
Oui, c’est bien un des reproches majeurs qu’on puisse lui faire en matière de sécurité.
#7
Bah ça change des communiqués de presse rempli de rien… C’est pas mieux mais c’est pas pire " />
#8
Pourquoi “professionnels” ? J’ai l’impression qu’il a mauvaise réputation partout.
#9
« cette modification aurait représenté pour Apple une somme importante de travail »
Sérieusement ?? Ils ne vendent pas assez cher leur matériel pour payer des devs à corriger ça ?
#10
#11
Bah ils sont tellement habitués, en cas de problème, à cacher les merdes sous le tapis mine de rien qu’ils n’ont jamais cru à la pertinence d’une équipe chargée du débogage.
#12
Microsoft devrait s’en inspirer pour forcer les gens à quitter windows xp vers windows 10.
En tout cas les utilisateurs d’apple sont bien pris pour des pommes…
#13
C’est Macbidouille en même temps. " />
#14
Les sandbo ne sont pas étanches, étant donné que la mémoire partagé est massivement utilisée
#15
Je n’ai aucun problème particulier avec les 3 Yosemite de la maison (MB Pro Late 2008, MB Pro Mid 2010 et Mac Mini 2011 qui fait tourner OSX Serveur)…
Après effectivement je n’en fais pas un usage pro (hormis un peu de développement iOS).
#16
#17
Je me disais que ça doit passer par un process spécifique pour bypasser la sandbox (j’ai pas été lire le compte rendu) et que ce process uniquement pouvait être bouché.
#18
Le ver est dans le fruit.
#19
Quel beau pseudo pour parler de ça!
Je dirais plutot que le fruit est pourri; il ne manque plus que les parasites pour en profiter…
#20
Aucun problème avec 10.10.2 sur mon vieux mbp en usage “pro” (ça ne veut pas dire grand chose). J’avais installé directement la 10.10.2 pour éviter les soucis des 1ers yosemite.
#21
Rah zut !! Moi qui veut rester sur Maverick qui j’espère jouera le rôle du défunt mais très bon Snow Leopard " />
#22
#23
Avale et tais toi
#24
A part le fait que ce soit une vraie passoire depuis des lustres, c’est toujours mieux qu’un Windows.
Pour ma part, j’ai fait la MàJ sur un hack, rien de neuf à part Photo et ça fait pas rêver, Mail est toujours aussi mal foutu aussi, en tout cas il aime toujours pas Gmail.
Bref, ça reste un bon OS avec mes besoins mais à part OpenGL vous pouvez garder votre Snow, c’est bien la seule chose qui a changé.
#25
#26
#27
#28
#29
Depuis ML, c’est plus les même branchements, à la sauce Apple et c’est là qu’ils ont mis le fusion drive Intel.
Après moi c’est que des HDD et ça fonctionne mais de là à ce que ça marche avec Yosemite, voir le futur OS X.11, il y a un pas que je franchirais pas.
#30
Je ne sais pas si ça aidera, mais j’ai un MBP mi-2009 (core2duo+4Go RAM). Jetais resté sous SL autant que possible, depuis que j’ai mis un SSD, je suis passé a Mavericks sans problème, j’ai l’impression d’avoir eu un nouveau MBP. Le HDD est souvent le point faiblard, surtout si le processeur est un peu lent, ça rajoute des temps d’accès inutiles
#31
Cad?
Vérifiez juste bien les interfaces de votre matos pour ne pas être surpris (sata2/3, pci-e/m.2)
#32
#33
" /> non non, je ne ments pas, j’ai toujours mon Athlon64 3200+ et même un AthlonXP. Intel ayant fini par rattraper et surpasser son retard, Apple n’utilisant que du Intel, Intel par défaut.
Par contre, content de faire un mini brin de nostalgie de la bonne époque AMD " />
Y a que niveau GPU ou j’ai commencé sur ATI et que je continue sur AMD maintenant " />
#34
#35
#36
Faudrait déjà que j’investisse dans un SSD pour ma tour, alors pour mon Athlon64 il passera son tour je pense. Mais juste pour le fun, faudrait que j’essaie un linux léger
#37
#38