Computer Emergency Response Team - Industrie Services et Tertiaire
Vulnérabilites MacOS X impactant Safari et Apple Mail


Préambule :
===========
Cet e-mail a pour objet de vous informer d'un "Danger Potentiel". Il
constitue une "Pré-alerte" face à une situation que le Cert-IST juge
"à risque". Nous recommandons de prendre en compte très sérieusement
ce danger montant et d'appliquer les correctifs ou les palliatifs sur
les plates-formes impactées.


Nature du Danger :
==================

Des vulnérabilités ont été découvertes dans l'environnement MacOS X.
Il s'agit de variantes de la vulnérabilité identifiée initialement
sur le navigateur web Safari (avis CERT-IST/AV-2006.084).

En utilisant un e-mail malicieux, ou un site web malicieux, un
attaquant peut faire exécuter des commandes arbitraires sur le poste
de la victime, si cette victime :
 - visite le site web malicieux avec le navigateur "Safari",
 - ou ouvre l'attachement de l'e-mail malicieux avec l'outil e-mail
   standard "Apple Mail".

Nota : Les commandes malicieuses seront exécutées avec les privilèges
de l'utilisateur.

Le Cert-IST a décidé d'émettre un "Danger Potentiel" car :
 - il est facile de construire des e-mails d'attaque (ou des sites
   web malicieux). De nombreux exemples sont disponibles sur
   Internet,
 - les environnements standards MacOS X (utilisant Safari et Apple
   Mail) sont vulnérables.

Les utilisateurs de MacOS X sont donc fortement exposés.

Nota : Le Cert-IST a ouvert le 21/02/2006 un item "[faille MacOS X]"
dans son Hub de Gestion de crise suite à une montée de la menace pour
cet environnement.

Détails techniques :
====================

Ces vulnérabilités sont dues à la façon dont MacOS X détermine :
 - la dangerosité d'un fichier reçu (ce fichier est-il sûr ou non ?),
 - l'application qui doit être lancée pour visualiser ce fichier.

Elles exploitent le fait que MacOS X associe à chaque fichier des
"méta-data" qui décrivent le contenu du fichier (par exemple : type
du fichier, application à utiliser pour l'ouvrir, etc...). En
particulier des méta-data malicieuses permettent de forcer
l'exécution d'un fichier qui parait à priori inoffensif.

Les exemples d'attaques connues à ce jour utilisent un "shell script"
(ou une simple commande "shell") dissimulé dans un fichier ayant un
suffixe faisant penser qu'il s'agit d'un fichier inoffensif
(utilisant par exemple les suffixes ".jpg", ".mov", etc..).
Ce "shell" est :
  - soit inclus dans un fichier ZIP,
  - soit attaché à un e-mail.

Systèmes impactés :
===================

La vulnérabilité a été testée sur les environnements suivants :
   - Mac OS X 10.4.5.
   - Safari 2.0.3
   - Mail 2.0.5

Il est fort probable que les versions antérieures soient aussi
touchées.


Recommandations :
=================

Il n'existe pas de correctif pour ces vulnérabilités.

Dans l'attente d'un correctif de Apple, le Cert-IST recommande aux
utilisateurs de systèmes "MacOS-X" d'utiliser un navigateur web et un
outil de e-mail alternatifs.

A défaut, nous recommandons :
  - de désactiver sous " Safari" l'option "Open 'safe' files after
    downloading"
    (cf. CERT-IST/AV-2006.084)
  - de ne pas double-cliquer sur les fichiers attachés reçus par
    e-mails (pour les ouvrir). Pour accéder à un fichier reçu
    par e-mail, le sauvegarder sur disque et vérifier l'application
    que MacOS X à associé à ce fichier (colonne "Kind" dans la vue
    "Detailed" du "Finder") avant de l'ouvrir.


De façon générale, les utilisateurs de MacOS X doivent être très
prudent lors de leurs navigation web ou vis-à-vis des fichiers reçus.

McAfee a intégré à son antivirus des signatures détectant les
fichiers suspects. Il est probable que d'autres éditeurs le feront
également (ou l'ont déjà fait).


Liens :
=======

Avis CERT-IST/AV-2006.084 :
https://wws.cert-ist.com/fast-cgi/AV/Avis.cgi?lang=fra&ref=
CERT-IST/AV-2006.084

Hub de Crise du Cert-IST :
  https://wws.cert-ist.com/fra/hub/faillesmacosx/

Analyse du SANS :
   http://isc.sans.org/diary.php?storyid=1138

Description initiale des vulnérabilités :
  http://www.heise.de/english/newsticker/news/69862
  http://www.heise.de/english/newsticker/news/69919

Note de vulnérabilité "VU#999708" de l'US-CERT :
  http://www.kb.cert.org/vuls/id/999708
Copyright © 1999-2005 Cert-IST. Tous droits réservés.