Navigation
L'actualité informatique et multimédia
Mac OS X : une faille critique et un troyen pour l'exploiter
Et des méthodes pour éviter de se faire avoir
Et des méthodes pour éviter de se faire avoir
Une faille très sérieuse a été trouvé par un lecteur du forum de MacShadows. Cette faille touche le composant ARD (Apple Remote Desktop pour la prise de contrôle à distance) et se trouve exploitable grâce au langage de script d'Apple Applescript. Par un script appelant l'application ARDagent.app, on peut avoir un accès au système en tant que root.Pour les utilisateurs de Mac il suffit de taper la ligne suivante dans l'éditeur de script :
- tell application "ARDAgent" to do shell script "whoami"
Il aura suffit de très peu de temps pour qu'on trouve sur les réseaux de P2P un fichier malveillant sous deux formes : ASthtv05 (60 Ko) ou AStht_v06 (3.1 Mo). Ce troyen se copie alors dans le dossier /Library/Caches/ et se lance discrètement au démarrage et peut ensuite :
- Enregistrer les entrées claviers
- Activer le partage de fichiers
- Capturer l'écran
- Prendre des photos par la webcam
- Créer un utilisateur administrateur invisible et envoyer toutes les informations nécessaires pour se connecter à la machine avec le compte créé
- Désactiver certains logs système
- Ouvrir des ports sur le pare-feu
Il y a ensuite plusieurs solutions :
- La plus simple : activer le service « Gestion à distance » du panneau « Partage » des préférences de votre Mac en vérifiant bien que tout est décoché dans le panneau Options
- Supprimer les droits root d'ARD : il faut taper la commande suivante dans le terminal : sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent
- Utiliser la faille pour qu'elle se ferme elle-même. Il suffit de taper dans l'éditeur de script : tell application "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent"
N'hésitez pas vérifier que la faille est bien inaccessible en exécutant le script :
- tell application "ARDAgent" to do shell script "whoami"
Attention, pour les deux dernières solutions, une réparation des autorisations de votre système redonnera à ARD tous ses droits. Il faudra donc dans ce cas refaire la manipulation.
Rédigée par le lundi 23 juin 2008 à 11h58 (17883 lectures)
Vista : ces vilaines applications qui désactivent Aero
Comment faire pour remettre Aero en marche ?...
Comment faire pour remettre Aero en marche ?...
Vista : maîtriser les raccourcis clavier de Windows Mail
Si vous avez Vista et que vous utilisez l'application...
Si vous avez Vista et que vous utilisez l'application...
© 2003 -2009 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0185 s - Top 100 - Bons plans partenaires
Partenaires : Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Astuces PC - Test ADSL - Nos partenaires
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
Partenaires : Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Astuces PC - Test ADSL - Nos partenaires
























