Apple fait la sourde oreille au sujet d'une faille dans sa sandbox Mac OS X
Circulez, il n'y a rien à voir
Nous indiquions récemment dans nos colonnes qu’Apple rendrait obligatoire l’utilisation de la sandbox par les applications du Mac App Store à partir du 1er mars 2012. Or, voilà qu’une société de sécurité publie un rapport sur une faille de cette sandbox, capable de mettre à mal les fondations d’une forteresse qu’Apple cherche à bâtir.
Or, au 1er mars 2012, Apple va rendre obligatoire l’utilisation de cette sandbox pour les éditeurs présents sur l’App Store de Mac OS X. Cela signifie qu’il faudra se conformer à cette règle ou voir ses produits refusés. Notez que cette mesure devait initialement entrer en vigueur ce mois-ci mais le retard pris par les éditeurs a provoqué un report.
Une application définie par exemple avec un profil « Pas de réseau » pourrait tout de même y accéder dans une certaine mesure. Il s’agit plus précisément des évènements Apple qui peuvent être utilisés depuis une sandbox pour appeler d’autres applications qui, elles, ne sont pas concernées par la sandbox. Cette faille se retrouve sur les versions Leopard, Snow Leopard et Lion de Mac OS X.
La société rappelle sur son blog d’ailleurs qu’un problème similaire avait été trouvé par Charlie Miller à la conférence Black Hat 2008 au Japon. Peu après, Apple avait bloqué l’utilisation des évènements maisons mais n’avait pas modifié les profils génériques des sandbox.
Sur le même blog, le responsable produit Alex Horan regrette cependant le comportement d’Apple. Un parallèle est dressé entre une faille soumise à Adobe pour le Flash Player et celle de la sandbox à Apple. Conclusion : Adobe a corrigé la faille, pas Apple. Devant le manque de coopération de la firme, CST a décidé de publier son bulletin d’informations.
L'utilisation forcée pour les applications vendues sur l'App Store
La sandbox (bac à sable) est un procédé qui n’est pas neuf et qu’on retrouve notamment dans les clients de virtualisation tels que VirtualBox. Le but est simple : isoler le code de l’application du reste du système en ne l’autorisant à communiquer avec ce dernier que via des permissions très précises. Au développeur alors de déclarer ce dont il aura besoin.Or, au 1er mars 2012, Apple va rendre obligatoire l’utilisation de cette sandbox pour les éditeurs présents sur l’App Store de Mac OS X. Cela signifie qu’il faudra se conformer à cette règle ou voir ses produits refusés. Notez que cette mesure devait initialement entrer en vigueur ce mois-ci mais le retard pris par les éditeurs a provoqué un report.
Les murs du bac à sable trop perméables
Et voilà qu’une société argentine, Core Security Technologies, annonce qu’une faille est présente dans la sandbox de Mac OS X justement. Exploitée, elle permettrait une exécution de code arbitraire à distance. Selon CST, plusieurs profils par défaut de cette sandbox ne limitent pas correctement les accès aux fonctionnalités.Une application définie par exemple avec un profil « Pas de réseau » pourrait tout de même y accéder dans une certaine mesure. Il s’agit plus précisément des évènements Apple qui peuvent être utilisés depuis une sandbox pour appeler d’autres applications qui, elles, ne sont pas concernées par la sandbox. Cette faille se retrouve sur les versions Leopard, Snow Leopard et Lion de Mac OS X.
La société rappelle sur son blog d’ailleurs qu’un problème similaire avait été trouvé par Charlie Miller à la conférence Black Hat 2008 au Japon. Peu après, Apple avait bloqué l’utilisation des évènements maisons mais n’avait pas modifié les profils génériques des sandbox.
Sur le même blog, le responsable produit Alex Horan regrette cependant le comportement d’Apple. Un parallèle est dressé entre une faille soumise à Adobe pour le Flash Player et celle de la sandbox à Apple. Conclusion : Adobe a corrigé la faille, pas Apple. Devant le manque de coopération de la firme, CST a décidé de publier son bulletin d’informations.
Source :
CST
Vincent Hermann
le 14 novembre 2011 à 17:49
(11 034
lectures)
Actualités et brèves relatives
- 06 / 11 / 2011 : Apple rendra la sandbox obligatoire sur le Mac App Store le 1er mars ...
- 27 / 10 / 2011 : Apple met à jour l'EFI des Mac pour corriger la restauration de Lion
- 22 / 09 / 2011 : Turbo NAS de QNAP : des firmwares compatibles Mac OS X Lion
- 21 / 09 / 2011 : Premières corrections et nouveautés pour Final Cut X d'Apple
- 16 / 09 / 2011 : MacBook Pro : Apple corrige un souci de S-ATA 6 Gbps
- 05 / 09 / 2011 : Face aux critiques contre Final Cut X, Apple rappelle Pro 7
- 16 / 08 / 2011 : Mac OS X Lion est disponible sur clé USB pour 59 euros
- 09 / 08 / 2011 : Skype 5.3 pour Mac OS X est compatible avec Lion et le 720p
