Actualité

Divers

OS X : une faille non corrigée permet de détourner la commande sudo

Par arnaud - Publié le 29 août 2013 à 08h23

Une vulnérabilité, découverte il y a 5 mois, permet, sous certaines conditions, à un attaquant de détourner le commande Super User (sudo) et de gagner un accès "root" aux Mac. Cette vulnérabilité, qui existe aussi sur Linux, est cependant plus aisée à exploiter sur Mac. Metasploit, un framework open source qui compile les différents moyens d'attaque a d'ailleurs été mis à jour pour permettre d'exploiter cette faille encore plus aisément.

Pour lancer une commande sudo, il faut connaître le mot de passe "root". Cependant, en remettant l'horloge système en arrière, à la date du 1er janvier 1970 - le début du temps dans les Unix, il est possible d'obtenir un accès root sans mot de passe. Comme OS X permet de modifier l'horloge système aisément, l'exploit est relativement facile à exploiter.

Évidemment, le "facilement" est à relativiser aussi : pour exploiter cette faille,il faut que l'utilisateur habituel ait les droits "administrateur", il faut qu'il ait utilisé, dans le passé, la commande root et que l'attaquant ait accès physique à la machine ou, à distance, via un shell. N'empêche : Apple serait bien inspirée de corriger cette faille au plus vite. Nul doute que cet article, et les dizaines d'autres qui le précèdent ou le suivent, contribueront à faire bouger Cupertino.

Source

Publiés ce jour

L'image du jour : à quoi pourrait ressembler le casque ARVR d'Apple ?

Forcément à quelques jours de la supposée présentation, les esprits s'échauffent et se rabattent sur leur logiciel...

Beat Saber pourrait-il être un des jeux du casque ARVR d'Apple ?

Ni confirmé, ni infirmé par Apple, le casque ARVR conserve les honneurs de l’actualité, tout du moins jusqu'à lundi...

Le casque ARVR d'Apple, un casse-tête à assembler et un prix en conséquence ?

Ni présenté, ni confirmé, mais une chose est sûre : le casque ARVR n'aura jamais fait couler autant d'encre. Entre les brevets,...

Depuis son rachat par Elon Musk, Twitter ne vaudrait plus qu'un tiers de sa valeur !

Il semble que les 44 milliards de dollars investis par Elon Musk le 22 octobre dernier n'aient été une si bonne affaire pour le moment !

Apple annonce une "nouvelle ère" (et un casque ARVR ?)

Le compte à rebours avant la keynote s’avère des plus trépidants cette année, puisqu’Apple semble vouloir tester la...

Apple s’offre un nouveau Hashflag sur Twitter pour la WWDC2023

Le 5 juin prochain débutera la WWDC 2023. Comme à son habitude, Apple vient de mettre à jour sa page web dédiée, avec la...

L'IA pourrait-elle sonner le glas de l'humanité ?

Une série d’experts et de chefs d’entreprise appellent à faire face contre les risques liés à l’IA, et ce, via...

Même Apple commence à teaser sur son casque ARVR !

A moins d'une semaine de la WWDC, les spéculations fusent dans tous les sens concernant le casque ARVR d'Apple, d'autant que la firme semble placer...