Attention aux sites malicieux, méfiez-vous des images GIF, TIFF et BMP, n'ouvrez pas les archives ZIP... on croirait lire une alerte pour Windows. C'est pourtant MacOS X qui est concerné par cette impressionnante série de vulnérabilités. Elles sont jugées extrêmement critiques et pourraient permettre la prise de contrôle du Mac, bien que pour l'instant seuls des dénis de service soient démontrés. Aucun correctif n'est disponible à ce jour.

au sommaire


    Festival de vulnérabilités pour MacOS X

    Festival de vulnérabilités pour MacOS X

    Si l'on y prend pas garde, l'alerte publiée par le site SecuniaSecunia pourrait passer pour le quotidien d'Internet Explorer ou de Windows. On y trouve des vulnérabilités exploitables à la lecture d'images aux formats GIF, TIFF et BMP, à la lecture de balises HTML piégées et à l'ouverture d'archives ZIP malformées. C'est pourtant d'OS X qu'il s'agit, dans sa toute dernière version (10.4.6).

    Découvertes par le prolifique Tom Ferris, de Security ProtocolsProtocols, ces vulnérabilités permettent au moins de faire crasher le navigateurnavigateur Safari ou le Finder (l'Explorateur) du MacMac. Mais selon Tom Ferris l'exécution de code n'est pas exclue pour autant. Le découvreur fourni d'ailleurs plusieurs exemples de code d'exploitation (pour PowerPC seulement), qui pourraient parfaitement inspirer des coders moins scrupuleux.

    AppleApple aurait été informé de l'existence de ces failles depuis le mois de février sans qu'un correctif ne soit encore disponible. L'alerte publiée par le site Secunia mentionne ainsi, comme seule parade, un laconique "Ne visitez pas de sites web suspects, n'ouvrez pas d'archives ZIP ou d'images de sources inconnues".