Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Monday 23 April 2007
0 comment(s) | Subnetwork France

C'est finalement une vulnérabilité exploitable via le navigateur Safari qui aura permis à un pirate de remporter le prix de dix-mille dollars offert dans le cadre de la conférence CanSecWest, au Canada.Les organisateurs avaient en effet installé deux Mac accessibles depuis une borne wifi. Leur configuration était celle par défaut et aucun programme supplémentaire n'était exécuté. L'objectif était d'en prendre le contrôle à distance : le premier devait être compromis en obtenant un accès "utilisateur" en ligne de commande (un "shell"), et le second un accès "administrateur" ("root"). Pour cette épreuve là, les Mac se sont révélés inviolables (l'histoire ne dit pas si le pare-feu personnel de MacOSX était activé ou non. Il ne l'est en tout cas pas par défaut.).Peut-être afin de pousser un peu plus les hackers dans leurs derniers retranchements (et au passage, de simuler un vecteur d'attaque très courant !), les organisateurs ont alors décidés que les participants avaient la possibilité d'envoyer par email des liens Internet qui seraient transmis aux Mac. En clair, il était possible de "faire cliquer" sur un lien puis de "faire visiter" une page web de leur choix aux machines. L'attaque pouvait donc être menée au niveau du lien (malformé, par exemple) ou de la page web à l'arrivée (piégée).C'est cette seconde option - au demeurant la plus inquiétante pour les utilisateurs - qui a été choisie par le pirate vainqueur du concours. Aucun détail n'a filtré sur la nature exacte de la vulnérabilité. Selon la rumeur - à prendre avec précaution - elle serait liée à la fonctionnalité "d'Input Managers" de Mac OS X (des librairies qu'il suffit de déposer sur le système et qui permettent d'intercepter toutes les entrées du programme auquel ils se rattachent afin de les modifier avant de les lui renvoyer) Voir notre mise à jour du 24 avril pour le détail de cette faille.Toujours est-il qu'il s'agit donc d'une vulnérabilité de type 0-Day (non corrigée, donc) pour MacOS X, accessible à la simple visite d'une page web piégée. L'attaque n'aurait pas fait "crasher" le navigateur Safari et serait donc en outre silencieuse.La vulnérabilité ne sera pas révélée au public. C'est la société 3Com, via sa division Tipping Point (rachetée à la fin 2004) qui s'occupera de contacter Apple. C'est 3Com qui avait offert le prix de 10.000 dollars.Pour l'heure, il n'y a pas de correctif à cette vulnérabilité. Lorsqu'elle a été annoncée, le 20 avril dernier, Apple venait tout juste de publier un méga-correctif de sécurité de plus d'une vingtaine de rustines. L'une de ces vulnérabilités concernait déjà le navigateur Safari et l'exécution de code, mais cette fois-ci via la librairie libinfo. [Mise à jour du 24/04/07]Nous en savons désormais plus sur cette vulnérabilité, grâce à l'interview d'un responsable des incidents de sécurité chez Tipping Point, publiée par le site InfoWorld. La faille toucherait aussi bien Safari que Firefox sous Mac (adieu, donc, l'option de changer de navigateur en attendant un correctif...). Mais surtout, elle concernerait aussi Windows lorsque Quick Time est installé !D'après InfoWorld en effet, la vulnérabilité se situerait dans une interaction malheureuse entre Java et Quick Time, des composants qui ne sont pas exclusifs au Mac (rien à voir avec la rumeur d'exploitation des Input Managers comme nous l'indiquions dans la première version de cet article).L'absence de correctif, en revanche, est toujours de mise : Apple n'aurait pour l'heure répondu que par un courrier-type...

• L'annonce (particulièrement brève !) du piratage, sur le site de la convention de sécurité (en anglais)