Apple fait la sourde oreille au sujet d'une faille dans sa sandbox Mac OS X

Nous indiquions récemment dans nos colonnes qu’Apple rendrait obligatoire l’utilisation de la sandbox par les applications du Mac App Store à partir du 1er mars 2012. Or, voilà qu’une société de sécurité publie un rapport sur une faille de cette sandbox, capable de mettre à mal les fondations d’une forteresse qu’Apple cherche à bâtir.

L'utilisation forcée pour les applications vendues sur l'App Store

La sandbox (bac à sable) est un procédé qui n’est pas neuf et qu’on retrouve notamment dans les clients de virtualisation tels que VirtualBox. Le but est simple : isoler le code de l’application du reste du système en ne l’autorisant à communiquer avec ce dernier que via des permissions très précises. Au développeur alors de déclarer ce dont il aura besoin.

Or, au 1er mars 2012, Apple va rendre obligatoire l’utilisation de cette sandbox pour les éditeurs présents sur l’App Store de Mac OS X. Cela signifie qu’il faudra se conformer à cette règle ou voir ses produits refusés. Notez que cette mesure devait initialement entrer en vigueur ce mois-ci mais le retard pris par les éditeurs a provoqué un report.

Les murs du bac à sable trop perméables

Et voilà qu’une société argentine, Core Security Technologies, annonce qu’une faille est présente dans la sandbox de Mac OS X justement. Exploitée, elle permettrait une exécution de code arbitraire à distance. Selon CST, plusieurs profils par défaut de cette sandbox ne limitent pas correctement les accès aux fonctionnalités.

Une application définie par exemple avec un profil « Pas de réseau » pourrait tout de même y accéder dans une certaine mesure. Il s’agit plus précisément des évènements Apple qui peuvent être utilisés depuis une sandbox pour appeler d’autres applications qui, elles, ne sont pas concernées par la sandbox. Cette faille se retrouve sur les versions Leopard, Snow Leopard et Lion de Mac OS X.

La société rappelle sur son blog d’ailleurs qu’un problème similaire avait été trouvé par Charlie Miller à la conférence Black Hat 2008 au Japon. Peu après, Apple avait bloqué l’utilisation des évènements maisons mais n’avait pas modifié les profils génériques des sandbox.

Sur le même blog, le responsable produit Alex Horan regrette cependant le comportement d’Apple. Un parallèle est dressé entre une faille soumise à Adobe pour le Flash Player et celle de la sandbox à Apple. Conclusion : Adobe a corrigé la faille, pas Apple. Devant le manque de coopération de la firme, CST a décidé de publier son bulletin d’informations.

Source : CST

Le 14 novembre 2011 à 17:49 (12 228 lectures)

Tweeter

Actu Précédente Actu Suivante