Le 20/06/2008 à 07h33 

Sécurité : un troyen dans Mac OS X [MAJ]

Par arnaud

L'histoire se déroule en deux temps : d'abord, techniquement, une faille de sécurité a été découverte dans un composant utilisé par Apple Remote Desktop, le logiciel de prise de contrôle à distance des Mac édité par Apple.

Au niveau de Léopard, Apple Remote Desktop utilise, pour permettre la prise de contrôle de la machine distante, ARDAgent, un utilitaire qui se trouve à ce niveau de votre système :

/System/Library/CoreServices/RemoteManagement

Cet utilitaire est celui qui répond à une demande prise de contrôle à distance. Problème de sécurité, cet utilitaire fonctionne sous root, le super utilisateur de Mac OS X, mais aussi tous les processus qui lui sont liés. Concrêtement, ceci veut dire qu'un script AppleScript, par exemple, lancé par ARDAgent aura, lui aussi, les droits root. En clair, ce script pourra faire ce qu'il veut de votre machine.

C'est là qu'intervient la seconde partie de l'histoire : SecureMac a identifié un script malicieux de type troyen utilisant cette faille, la chose se nomme AppleScript.THT. Ce script malicieux a été trouvé dans un script AppleScript compilé répondant au doux nom de ASthtv05, ou dans un paquet d'installation nommée AStht_v06. Respectivement 60 Ko et 3,1 Mo de taille pour ces deux fichiers.

Attention donc, pour l'instant, à tout ce que vous téléchargerez qui ressemble à un script. Il faut donc rester vigilant en attendant qu'Apple comble la faille de sécurité permettant l'exploit décrit ci dessus. Dans un premier temps, vous pouvez ACTIVER l'accès ARD depuis vos préférences système, onglet partage (voir capture). Et là, vous êtes tranquille.

Ce n'est pas une bonne journée qui commence.

ACTIVEZ la gestion à distance !

Source

[MAJ : vous l'avez noté sur le forum, à raison. Paradoxalement, c'est en activant la fonction de partage via ARD dans les préférences système qu'on peut empêcher le troyen de fonctionner. Intego a diffusé une alerte sécurité en ce sens.]

Envoyer Déjà 26 réactions !

Lire l'actu : Podcast AE08 : VMware Fusion, la version longue de RégisMac4Ever teste Call Of Duty 4 Modern WarfareOpen Office 3 désormais en version RC4Une scène 3D fractaleRIM, une proie boursière pour Microsoft ?Nvidia défaillante : MacBook Pro de mai 2007 à septembre 2008Adium 1.3.2Strip tease de NanoPlus de pub sur Google MapsDelicious Library, OmniPlan et MathLab à jourLes caractéristiques supposées des nouveaux MacBook et ProTrois jeux gratuits pour quelques jours sur l'AppStore14 octobre : Apple montre un MacBook sur son invitationOrange UK cesse de vendre le Blackberry Bold VideoPier, vos clips MPEG2 en toute simplicitéiPhone : des photos de futurs jeuxMise à jour de sécuritéKeynote confirmée pour le 14 octobre !Google vous protège de vous-mêmeLa photo du MacBook Pro serait authentiqueiTunes : la bataille d'AngleterreLe Tech Talk Tour d'Apple à Paris le 22 octobreChrome, en baisse en EuropeMicrosoft réinvente le mot de passe administrateurGoogle, MacBU, blague, Windows, Yahoo, Free...MacBook à 800$ ? Brique ? Les rumeurs s'emballent !Wine repris par Google ?Alain Souchon : un cadeau empoisonné ?Guerre européenne autour de la riposte graduéeTranslateIt traduit à la voléePas d'Apple Event le 14 octobre ?Léopard sur ultra-portable tactileLe guide du développeur iPhone d'Erica SadunApple : pas de centre d'appel dans le ColoradoApple brevète son DockMacBook Pro : photos de carcasseLe Munich StoreUne harpe japonaise dans votre iPhone et TouchConférence iPhone pour les "décideurs"CameraBag, du style dans vos photos iPhoneUne batterie chargeur pour MacBook AirShaker jugé trop proche de Tétris pour être sur l'AppStoreDropClock, un économiseur qui éclabousseRétrospective du web d'Apple depuis 1997Opera 9.6 en fanfareInstantaction : ça shoote dans votre brouteurPascal Nègre bientôt converti à la licence globale ?Et si votre webcam vous enregistrait à votre insu ?Halle Berry et Hillary Duff, stars pomméesMise à jour EyeTV 3.0.4New iPod Nano, Touch et ClassicLes Mac Mini baissent de prix  ou consulter tous les titres...