Transmis par M@ster le 30 octobre 2003 à 01:30:05 UTC
Par Christophe Guillemin, ZDNet France le 28-10-2003.
Alors que vient de sortir Mac OS X 10.3, des experts en sécurité, de la société américaine @Stake, découvrent trois importantes vulnérabilités dans les versions précédentes du système d'exploitation. Elles pourraient être exploitées pour prendre le contrôle de l'ordinateur.
La société américaine @Stake, spécialisée dans la sécurité informatique, alerte les utilisateurs d'ordinateurs Apple de la présence de trois failles critiques découvertes dans le système d'exploitation Mac OS X.
Ces trois vulnérabilités concernent les versions 10.2.8 et précédentes de l'OS, mais pas la nouvelle mouture 10.3 (Panther), sortie le 24 octobre. Apple n'ayant pour l'instant pas mis à disposition de correctifs pour résorber ces failles, @Stake conseille de passer à la nouvelle version.
La première faille se situe au niveau du noyau du système. «Il est possible de causer une panne du noyau de Mac OS X en entrant une longue ligne de commande (…), ce qui entraîne un blocage complet du système qui redémarre au bout de quelques minutes», explique @Stake.
Concrètement, il s'agit d'un risque de "dépassement de mémoire tampon" (buffer overflow); une défaillance qui advient lorsqu'un programme s'emballe et demande davantage de mémoire qu'il n'en dispose. Résultat, il accède à des zones mémoire qui ne lui sont pas destinées. Cette vulnérabilité peut être exploitée par une personne malintentionnée pour exécuter du code sur l'ordinateur afin d'en prendre le contrôle.
Usurper des privilèges d'accès au système
La seconde faille a été détectée au niveau du module d'installation des programmes, qui serait trop permissif. «Beaucoup d'applications sont installées sur des systèmes Mac OS X avec des permissions peu sûres (…). Conséquence, il est possible d'écrire dans la plupart des dossiers et répertoires», assure @Stake. Une personne peut en profiter pour usurper des privilèges d'accès au système, précisent les experts.
Enfin, la dernière vulnérabilité est assez similaire et concerne une fois de plus le noyau du système. Ce dernier peut être paramétré de façon à permettre la création d'un fichier rassemblant les données d'identification des utilisateurs (mots de passe et identifiant).
Ces informations pourraient être exploitées, à des fins malveillantes, pour accéder aux parties du système normalement réservées à des utilisateurs spécifiques, conclut @Stake.