Ouvrir le menu principal

MacGeneration

Recherche

Faille dyld : pas besoin de mot de passe pour installer des malwares

Mickaël Bazoge

mardi 04 août 2015 à 09:40 • 30

macOS

Il n’aura pas fallu attendre longtemps pour qu’une attaque exploite la vulnérabilité dyld repérée la semaine dernière par le chercheur en sécurité Stefan Esser (lire : Une faille de sécurité dans Yosemite donne accès au Mac). La société Malwarebytes, qui édite des anti-malwares, a repéré un installateur malin qui s’infiltre sur le Mac en y laissant des adwares comme VSearch, une variante de l’indésirable Genieo, ou encore le pourriciel MacKeeper.

Le script qui exploite la faille dyld modifie le fichier de configuration sudoers, un fichier Unix caché qui détermine les autorisations root dans un shell Unix. La modification appliquée par le script sur ce fichier sudoers permet à l’application d’obtenir les permissions root sans qu’elle ait besoin d’un mot de passe, explique les chercheurs de Malwarebytes. C’est évidemment dans le contournement du mot de passe, rendu possible par la faille dyld, que réside le nœud du problème.

Tout cela est « évidemment de très mauvaises nouvelles », déplore la société. Apple est au courant de la situation : la faille n’existe pas dans les préversions d’OS X El Capitan, mais elle est toujours présente sous OS X 10.10.4 et les betas d’OS X 10.10.5. Mais l’urgence qui pointe va peut-être pousser les ingénieurs de Cupertino à livrer un correctif dès la version finale d’OS X 10.10.5. En attendant, Stefan Esser a développé un patch, mais on préfèrera installer le correctif officiel… en espérant qu’il arrive rapidement.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

17:44

• 0


Derniers jours Apple week à la Fnac : -10 % sur des MacBook Pro, iPhone 15 Pro à 16 Pro Max et iPad Pro M4

16:00

• 5


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

14:00

• 2


Microsoft a conçu une publicité par IA et personne n’a rien vu

13:45

• 16


Razer lance sa première souris ergonomique verticale face à Logitech

12:15

• 9


Yahoo! veut acheter Chrome

10:45

• 32


Slate veut repartir de zéro avec un pick-up électrique compact et épuré pour moins de 20 000 $

10:00

• 90


iPadOS 19 verrait apparaître une barre de menus sur iPad

09:24

• 44


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

09:23

• 42


John Giannandrea aurait aussi perdu l'équipe en charge de la robotique chez Apple

07:39

• 8


Les procès antitrust contre les GAFAM se poursuivent aux USA, malgré les changements de présidence

24/04/2025 à 21:30

• 24


Prise en main de Supercharge, l’app à tout faire qui rend bien des services sur le Mac

24/04/2025 à 20:30

• 17


TSMC annonce la gravure en 1.4 nm, quand la Russie espère atteindre les 28 nm en 2030

24/04/2025 à 20:20

• 49


Données personnelles : comment Incogni supprime ce que les autres ne peuvent pas 📍

24/04/2025 à 18:17

• 0


Amazon va fêter ses 25 ans en France avec une semaine de promos du 30 avril au 6 mai

24/04/2025 à 17:30

• 16


La Maison-Blanche qualifie « d'extorsion économique » l’amende de l’UE infligée à Meta et Apple

24/04/2025 à 16:09

• 165