Sécurité : un troyen dans Mac OS X [MAJ]

L'histoire se déroule en deux temps : d'abord, techniquement, une faille de sécurité a été découverte dans un composant utilisé par Apple Remote Desktop, le logiciel de prise de contrôle à distance des Mac édité par Apple.

Au niveau de Léopard, Apple Remote Desktop utilise, pour permettre la prise de contrôle de la machine distante, ARDAgent, un utilitaire qui se trouve à ce niveau de votre système :

Cet utilitaire est celui qui répond à une demande prise de contrôle à distance. Problème de sécurité, cet utilitaire fonctionne sous root, le super utilisateur de Mac OS X, mais aussi tous les processus qui lui sont liés. Concrêtement, ceci veut dire qu'un script AppleScript, par exemple, lancé par ARDAgent aura, lui aussi, les droits root. En clair, ce script pourra faire ce qu'il veut de votre machine.

C'est là qu'intervient la seconde partie de l'histoire : SecureMac a identifié un script malicieux de type troyen utilisant cette faille, la chose se nomme AppleScript.THT. Ce script malicieux a été trouvé dans un script AppleScript compilé répondant au doux nom de ASthtv05, ou dans un paquet d'installation nommée AStht_v06. Respectivement 60 Ko et 3,1 Mo de taille pour ces deux fichiers.

Attention donc, pour l'instant, à tout ce que vous téléchargerez qui ressemble à un script. Il faut donc rester vigilant en attendant qu'Apple comble la faille de sécurité permettant l'exploit décrit ci dessus. Dans un premier temps, vous pouvez ACTIVER l'accès ARD depuis vos préférences système, onglet partage (voir capture). Et là, vous êtes tranquille.

Ce n'est pas une bonne journée qui commence.

Source

[MAJ : vous l'avez noté sur le forum, à raison. Paradoxalement, c'est en activant la fonction de partage via ARD dans les préférences système qu'on peut empêcher le troyen de fonctionner. Intego a diffusé une alerte sécurité en ce sens.]