Une nouvelle vulnérabilité découverte et exploitée au sein d'OS X

Des hackeurs ont exploité un bug récemment découvert au sein d'OS X afin d'y déployer plusieurs applications malveillantes.

Le mois dernier, l'expert en sécurité Stefan Esser avait publié les détails d'une vulnérabilité identifiée au d'OS X 10.10 Yosemite. Concrètement celle-ci affecte le fichier DYLD_PRINT_TO_FILE , un fichier UNIX caché lequel mentionne, entre autres, les utilisateurs ayant la permission d'avoir des droits d'administration (root) à l'interpréteur de commandes Shell Unix. Seulement M. Esser n'avait pas prévenu Apple...

La société Malwarebytes, spécialisée en sécurité, explique que cette vulnérabilité a déjà été exploitée. Il faut dire qu'en mode root, il est possible de se passer de mot de passe. La machine de la victime est donc à la merci des hackeurs.

L'une des attaques repérées se traduit par l'installation de VSInstaller, un véritable répertoire de logiciels malveillants. Le ficher DYLD_PRINT_TO_FILE a précisément été modifié de telle sorte que VSInstaller n'ait tout simplement pas besoin de mot de passe.

035C000008131114-photo-logo-s-curit.jpg


Puisque l'application a tous les droits, elle procède elle-même au téléchargement de trois autres malware : VSearch (un adware), Genieo et MacKeeper. Puis, l'utilisateur est redirigé vers le Mac App Store pour procéder à l'installation de Download Shuttle, un gestionnaire de téléchargements.

Le problème n'a pas encore été corrigé par Apple et à l'heure actuelle, seule la vigilance des utilisateurs saura garantir la sécurité de leurs machines. Retrouvez davantage d'informations sur cette page.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Microsoft ouvre son service Docs.com au public
EA à la Gamescom, Unravel, FIFA 16, Need For Speed, Star Wars Battlefront et les autres
EcoTank : Epson révolutionne l'impression avec l'encre rechargeable
La batterie du smartphone bientôt exploitée pour traquer les mobinautes ?
Ubisoft et la Gamescom, For Honor, Assassin’s Creed Syndicate ou Just Dance 2016
Seagate lance un disque dur pour Xbox One
Apple dément vouloir devenir un opérateur mobile
Xbox One : enregistrez vos programmes TV
Slide : l'hoverboard de Lexus refait parler de lui (màj)
Avant une fusion, Outlook Web App s'inspire d'Outlook.com
Haut de page