Une faille de sécurité non comblée par Apple depuis 11 ans, Réactions à la publication du 13/06/2018 |
Bienvenue invité ( Connexion | Inscription )
Une faille de sécurité non comblée par Apple depuis 11 ans, Réactions à la publication du 13/06/2018 |
13 Jun 2018, 06:26
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 335 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Dans un article très détaillé, Ars Technica revient sur une faille de sécurité présente sur macOS (et avant Mac OS X) depuis 11 ans.
La faille concerne la signature des codes qui permet à macOS d'authentifier la source des logiciels et ainsi éviter que des malwares ne puissent revêtir des habits de logiciels légitimes. Il s'avère que le système de signature des codes d'Apple le fait sur tout un fichier soumis, même si plusieurs codes sont inclus dedans. Ce n'est pas une vulnérabilité selon des experts, mais un bug associé à des instructions floues proposées par Apple. Il est toutefois possible aujourd'hui de faire croire à un Mac que du code est signé par un développeur, même si ce n'est pas le cas. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
13 Jun 2018, 07:04
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 720 Inscrit : 28 Nov 2015 Lieu : Somme Membre no 197 274 |
Simple, Apple va répondre, pour votre sécurité : "acheter vos logiciels sur l'APP Store"
Ce message a été modifié par Pat94 - 13 Jun 2018, 07:05. -------------------- MacPro 7.1/5.1
|
|
|
13 Jun 2018, 07:20
Message
#3
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 835 Inscrit : 16 Nov 2003 Membre no 11 701 |
Ou comment tuer les logiciels "tiers" (que ce nom est moche ...)
|
|
|
13 Jun 2018, 09:04
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
LittleSnitch a été mis à jour et la vulnérabilité CVE-2018-10470 est corrigée dans la version 4.1
https://obdev.at/cve/2018-10470-8FRWkW4oH8.html https://www.okta.com/security-blog/2018/06/...signing-checks/ https://www.obdev.at/products/littlesnitch/releasenotes.html -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
13 Jun 2018, 09:16
Message
#5
|
|
Adepte de Macbidouille Groupe : Membres Messages : 63 Inscrit : 18 May 2010 Membre no 154 333 |
Ce n'est absolument pas une faille de sécurité d'Apple. Certains programmes utilisent de facon incorrecte une API fournie par Apple et affichent donc de faux positifs. Mais Apple ne pouvait pas y faire grand chose, a part clarifier la documentation de l'API, ce qu'ils ont fait.
C'est donc les programmes concernés qu'il faut corriger (Little Snitch a déja été mis a jour, les autres devraient suivre). |
|
|
13 Jun 2018, 10:53
Message
#6
|
|
Sans Titre Groupe : Membres Messages : 878 Inscrit : 16 Oct 2001 Membre no 1 049 |
Citation Il s'avère que le système de signature des codes d'Apple le fait sur tout un fichier soumis, même si plusieurs codes sont inclus dedans. rien compris |
|
|
13 Jun 2018, 11:40
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
Citation Il s'avère que le système de signature des codes d'Apple le fait sur tout un fichier soumis, même si plusieurs codes sont inclus dedans. rien compris +1 -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
13 Jun 2018, 15:01
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 484 Inscrit : 21 Apr 2006 Membre no 59 799 |
Citation Il s'avère que le système de signature des codes d'Apple le fait sur tout un fichier soumis, même si plusieurs codes sont inclus dedans. rien compris +1 En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne. ArsTechnica cite huit logiciels affectés : VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black’s db Response, et « plusieurs outils » de chez Objective-See. Ce message a été modifié par marc_os - 13 Jun 2018, 15:05. -------------------- ----------------- --JE-------SUIS-- --AHMED-CHARLIE-- --CLARISSA-YOAV-- ----------------- |
|
|
13 Jun 2018, 15:24
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
@marc_os alors là respect! et merci c'est carrément plus clair !
-------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
13 Jun 2018, 16:04
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 594 Inscrit : 28 Mar 2008 Membre no 111 113 |
En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne. ArsTechnica cite huit logiciels affectés : VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black’s db Response, et « plusieurs outils » de chez Objective-See. VirusTotal... Pas mal, ça, un antivirus qui pourrait être porteur d'une vérole... -------------------- "Heartbreaker" G3 B&W 300 overclock 400 MHz, PowerBook G4 "Alu" 15" 1.25 GHz (avec SSD mSATA), G4 AGP 400 MHz, MDD bipro 867 MHz, MDD mono 1.25 GHz (deuxième alim. en panne), Quicksilver 800 MHz (avec alim. ATX), tous sous Tiger. iPod Touch "Original" 32 Go sous iOS 3.1.3.
Et un MHack : CM MSI 7046 Rev. 1, Intel P4 (32 bits, monocoeur, HT, SSE3, 3.4 GHz), CG GeForce 9500GS. Avec Chameleon et Snow Leopard. A part la veille et le haut-parleur interne, tout marche. |
|
|
13 Jun 2018, 19:35
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne. ArsTechnica cite huit logiciels affectés : VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black’s db Response, et « plusieurs outils » de chez Objective-See. VirusTotal... Pas mal, ça, un antivirus qui pourrait être porteur d'une vérole... Logiciels affectés, pas infectés. Aucun des logiciels cités n'est porteur d'un truc malveillant pour cette vulnérabilité. Ils ont juste un défaut qui ne leur permet pas de s'assurer à 100% qu'un logiciel tiers signé ne soit pas porteur d'une vérole. -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
13 Jun 2018, 19:57
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 627 Inscrit : 26 Jun 2010 Lieu : Paris Membre no 155 873 |
Citation Il s'avère que le système de signature des codes d'Apple le fait sur tout un fichier soumis, même si plusieurs codes sont inclus dedans. rien compris +1 En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne. ArsTechnica cite huit logiciels affectés : VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black’s db Response, et « plusieurs outils » de chez Objective-See. J'ai l'impression que macOS n'est pas directement en cause. C'est la séquence correcte de la validation de la signature (d'un fat binary, t'as raison) qui n'est pas triviale et certains nombre de softs (et pas OS), comme Little Snitch, se servent mal de l'API de validation et peuvent laisser passer des "morceaux" non signés. Ce message a été modifié par vlady - 13 Jun 2018, 19:58. -------------------- Macbook 16" M1 Pro 32GB/1TB + Studio Display, Dell Precision 3640 i7-10700K/32GB, Fedora 36 Linux, Casque Sony WH-1000XM4, iPhone 6s 64GB
|
|
|
13 Jun 2018, 20:51
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 844 Inscrit : 21 Jan 2010 Lieu : Vancouver BC Membre no 149 008 |
Panic Inc. a eu une alerte il y a qq années quand un dévelopeur a accepté toutes les alertes parce qu'il les considéraient comme un embêtement.
|
|
|
13 Jun 2018, 22:55
Message
#14
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 652 Inscrit : 24 Jun 2004 Lieu : Grenoble Membre no 20 409 |
Citation Il s'avère que le système de signature des codes d'Apple le fait sur tout un fichier soumis, même si plusieurs codes sont inclus dedans. rien compris +1 En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne. ArsTechnica cite huit logiciels affectés : VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black’s db Response, et « plusieurs outils » de chez Objective-See. J'ai l'impression que macOS n'est pas directement en cause. C'est la séquence correcte de la validation de la signature (d'un fat binary, t'as raison) qui n'est pas triviale et certains nombre de softs (et pas OS), comme Little Snitch, se servent mal de l'API de validation et peuvent laisser passer des "morceaux" non signés. Je suis un peu étonné car je pratique beaucoup la signature de bundles contenant de multiples binaires et je n’ai jamais constaté que la commande « codesign » laisse passer quoique ce soit qui n’aurait pas du passer. Au contraire je la trouve très stricte et pointilleuse. J’ai souvent charcuté des bundles multilinéaires à titre de debugging et jamais pris gatekeeper en défaut. |
|
|
14 Jun 2018, 02:19
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 12 571 Inscrit : 25 Nov 2001 Membre no 1 397 |
En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne. Gesti, si ça pour toi ce n'est pas une belle grosse faille de sécurité, qu'est-ce que c'est ? |
|
|
14 Jun 2018, 07:29
Message
#16
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 594 Inscrit : 28 Mar 2008 Membre no 111 113 |
En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne. ArsTechnica cite huit logiciels affectés : VirusTotal, Google Santa, Facebook OSQuery, Little Snitch Firewall, Yelp, OSXCollector, Carbon Black’s db Response, et « plusieurs outils » de chez Objective-See. VirusTotal... Pas mal, ça, un antivirus qui pourrait être porteur d'une vérole... Logiciels affectés, pas infectés. Aucun des logiciels cités n'est porteur d'un truc malveillant pour cette vulnérabilité. Ils ont juste un défaut qui ne leur permet pas de s'assurer à 100% qu'un logiciel tiers signé ne soit pas porteur d'une vérole. J'ai bien fait la différence entre "affecté" et "infecté", c'est pour ça que j'ai écrit "pourrait" (conditionnel). Ceci dit, le fait que ces logiciels soient "affectés" fait qu'ils peuvent être "infectés" par des malfaisants pour transmettre des véroles. Et la récente histoire de Transmission me fait dire que, même en téléchargeant directement depuis le site de l'auteur, on n'est pas à l'abri d'une modification délétère de l'application... même si le fait de télécharger depuis le site de l'auteur est quand même beaucoup plus sûr que depuis des sites comme "soft-gratuits" ou "tout-a-un-clic" (noms inventés, mais vous voyez desquels je veux parler), voire même depuis des sites bien moins cashers et hors charte... -------------------- "Heartbreaker" G3 B&W 300 overclock 400 MHz, PowerBook G4 "Alu" 15" 1.25 GHz (avec SSD mSATA), G4 AGP 400 MHz, MDD bipro 867 MHz, MDD mono 1.25 GHz (deuxième alim. en panne), Quicksilver 800 MHz (avec alim. ATX), tous sous Tiger. iPod Touch "Original" 32 Go sous iOS 3.1.3.
Et un MHack : CM MSI 7046 Rev. 1, Intel P4 (32 bits, monocoeur, HT, SSE3, 3.4 GHz), CG GeForce 9500GS. Avec Chameleon et Snow Leopard. A part la veille et le haut-parleur interne, tout marche. |
|
|
14 Jun 2018, 08:32
Message
#17
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 969 Inscrit : 26 Jan 2011 Lieu : Pollachius virens Membre no 164 083 |
Ceci dit, le fait que ces logiciels soient "affectés" fait qu'ils peuvent être "infectés" par des malfaisants pour transmettre des véroles. Non, pas dans le cas de la vulnérabilité dont il est question ici. -------------------- MBP 2017 15" avec clavier pourri et touchbar inutile
|
|
|
14 Jun 2018, 10:53
Message
#18
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 594 Inscrit : 28 Mar 2008 Membre no 111 113 |
Ceci dit, le fait que ces logiciels soient "affectés" fait qu'ils peuvent être "infectés" par des malfaisants pour transmettre des véroles. Non, pas dans le cas de la vulnérabilité dont il est question ici. Ah bon? En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne.(...) Ce qui est possible "en théorie" finit souvent par être fait "en pratique", surtout si ça peut nuire à autrui et/ou rapporter du pognon... -------------------- "Heartbreaker" G3 B&W 300 overclock 400 MHz, PowerBook G4 "Alu" 15" 1.25 GHz (avec SSD mSATA), G4 AGP 400 MHz, MDD bipro 867 MHz, MDD mono 1.25 GHz (deuxième alim. en panne), Quicksilver 800 MHz (avec alim. ATX), tous sous Tiger. iPod Touch "Original" 32 Go sous iOS 3.1.3.
Et un MHack : CM MSI 7046 Rev. 1, Intel P4 (32 bits, monocoeur, HT, SSE3, 3.4 GHz), CG GeForce 9500GS. Avec Chameleon et Snow Leopard. A part la veille et le haut-parleur interne, tout marche. |
|
|
14 Jun 2018, 10:59
Message
#19
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Je suis un peu étonné car je pratique beaucoup la signature de bundles contenant de multiples binaires et je n’ai jamais constaté que la commande « codesign » laisse passer quoique ce soit qui n’aurait pas du passer. Au contraire je la trouve très stricte et pointilleuse. J’ai souvent charcuté des bundles multilinéaires à titre de debugging et jamais pris gatekeeper en défaut. Le problème n'est pas dans l'OS ni dans les outil de développement. Il est dans un certains nombres d'applications tierces qui utilisent mal la procédure de validation et peuvent être abusée dans certains cas. |
|
|
15 Jun 2018, 10:04
Message
#20
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 484 Inscrit : 21 Apr 2006 Membre no 59 799 |
En fait on peut compiler avec Xcode uniquement pour une cible architecturale donnée comme les processeurs Intel 64 bits, ou compiler en "fat binary" pour obtenir une Application "universelle" contenant du code i386, x86_64, ou PPC (ok, ça date un peu pour ce dernier). L'App (ou le bundle, cas plus général) peut donc contenir plusieurs exécutables. Le truc c'est qu'il pouvait arriver que seul l'un des exécutables soit signé (le premier) mais pas les autres, ce qui permettait théoriquement de remplacer ces autres exécutables par des trucs malveillants sans que l'OS ne rechigne.(...) Ce qui est possible "en théorie" finit souvent par être fait "en pratique", surtout si ça peut nuire à autrui et/ou rapporter du pognon... Ça fait finalement juste 11 ans que la théorie n'a pas été confirmée par la pratique dans le cas présent. -------------------- ----------------- --JE-------SUIS-- --AHMED-CHARLIE-- --CLARISSA-YOAV-- ----------------- |
|
|
15 Jun 2018, 12:48
Message
#21
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 594 Inscrit : 28 Mar 2008 Membre no 111 113 |
Ce qui est possible "en théorie" finit souvent par être fait "en pratique", surtout si ça peut nuire à autrui et/ou rapporter du pognon... Ça fait finalement juste 11 ans que la théorie n'a pas été confirmée par la pratique dans le cas présent. Citation (Artechnica) “It’s really easy,” Joshua Pitts, a senior penetration testing engineer at security firm Okta, said of the technique. When he discovered it in February, he quickly contacted Apple and the third-party developers. “This really scared the bejeebus out of me, so we went right to disclosure mode.” On a eu du bol, c'est un White Hat qui l'a trouvé le premier, et il l'a filé à Apple sans la rendre publique... il y a environ quatre mois. Ceci dit, maintenant que c'est connu, on peut s'attendre à des exploits visant les anciennes versions d'OSX! -------------------- "Heartbreaker" G3 B&W 300 overclock 400 MHz, PowerBook G4 "Alu" 15" 1.25 GHz (avec SSD mSATA), G4 AGP 400 MHz, MDD bipro 867 MHz, MDD mono 1.25 GHz (deuxième alim. en panne), Quicksilver 800 MHz (avec alim. ATX), tous sous Tiger. iPod Touch "Original" 32 Go sous iOS 3.1.3.
Et un MHack : CM MSI 7046 Rev. 1, Intel P4 (32 bits, monocoeur, HT, SSE3, 3.4 GHz), CG GeForce 9500GS. Avec Chameleon et Snow Leopard. A part la veille et le haut-parleur interne, tout marche. |
|
|
15 Jun 2018, 13:55
Message
#22
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Citation (Artechnica) “It’s really easy,” Joshua Pitts, a senior penetration testing engineer at security firm Okta, said of the technique. When he discovered it in February, he quickly contacted Apple and the third-party developers. “This really scared the bejeebus out of me, so we went right to disclosure mode.” On a eu du bol, c'est un White Hat qui l'a trouvé le premier, et il l'a filé à Apple sans la rendre publique... il y a environ quatre mois. Ceci dit, maintenant que c'est connu, on peut s'attendre à des exploits visant les anciennes versions d'OSX! Non : "Pitts said tools built into macOS weren’t susceptible to the bypass". Encore une fois, l'OS ne se laisse pas abuser, contrairement à certaines applications tierces. Ce message a été modifié par downanotch - 15 Jun 2018, 13:55. |
|
|
Nous sommes le : 19th April 2024 - 05:50 |