Épluchez des pommes !

Par Sid, mercredi 3 janvier 2007 à 13:43 :: (In)Sécurité :: lu 2487 fois :: #132 :: rss :: atom
Read it in english with Google

Épluchage de pomme

anvier 2007 sera le mois des failles Apple. Voilà. C'est come ça. Après les MoBB et MoKB, souhaitons la bienvenue au MoAB. En allant sur Apple Fun, vous pourrez trouver quotidiennement les trouvailles de L.M.H & Co, à savoir une nouvelle faille touchant les produits de Cupertino. Slogan ? You're the PC now, Mac!. Tout un programme...

En parallèle, Slashdot nous apprend que Landon Fuller, développeur Darwin et ancien d'Apple, s'est lancé dans la publication au jour le jour de correctifs pour ces failles. Jolie réponse du berger à la bergère dans la mesure où les deux premiers bugs publiés trouvent leur correctif prêt à l'emploi.

À l'heure où je rédige ces quelques lignes, deux failles ont été mises en ligne :

un dépassement sur la pile dans le traitement des URLs RTSP de Quicktime, conduisant évidemment à une exécution de code arbitraire ;
un bug de format sur le traitement des URLs UDP par VLC avec, ici encore, exécution de code à la clé.

En face de quoi nous pouvons trouver les correctifs correspondants, le premier écrit et packagé par Fuller, le second publié par l'équipe de VideoLAN et packagé par Fuller. Ces deux patches s'appuient sur Applicantion Enhancer, une application tierce-partie permettant apparemment de modifier le comportement d'applications en travaillant sur leur image en mémoire, solution manifestement efficace et relativement élégante pour corriger les-dites failles sans avoir à passer par une recompilation pas toujours possible sur une plateforme où pas mal d'outils sont fermés.

Côté Apple, silence. Remarquez, après la polémique autour de leurs drivers Wi-Fi, je me le jouerais profil bas à leur place... Mais je ne tarderais pas pour autant à publier les correctifs officiels ad-hoc qui se font attendre. De quoi faire taire les quelques mauvaises langues qui palabraient devant la création du ZERT et la publication de divers correctifs officieux pour Windows. Apple, c'est du sérieux, de telles initiatives ne serait pas nécessaires sur leurs plateformes bénies de dieux. Et bien non, c'est perdu : arborer une pomme sur le capot ne fait ni fuir les bugs, ni les failles, et surtout pas les gens qui les cherchent, les trouvent et les exploitent.

Ceci étant, je reste tout de même perplexe quant à la seconde publication en ce qu'il s'agit purement d'une faille dans VLC. Il est confirmé qu'elle est exploitable sous Windows et l'est très probablement sur quelques autres systèmes d'exploitation, Linux en tête. Que fait-elle donc dans cette liste de failles Apple ? Je n'en sais rien. Manque d'inspiration ? De discernement ? Besoin de meubler par manque de matière ? De prouver à quelques intégristes indécrotables qu'on peut exploiter des failles sous MacOS X^[1] ? À part le fait qu'à mon avis, elle n'a rien à y faire, je ne sais trop quoi en penser.

Mais bon, il reste une faille à publier aujourd'hui, et vingt-huit autres avant la fin du mois, largement de quoi rattraper ce 50% hors-sujet.

Et meilleurs vœux à tous pour 2007 !

Notes

[1] Quelqu'un en doutait-il encore ?

Note : 4.3/5 pour 7 votes

Trackbacks

Aucun trackback.

Pour faire un trackback sur ce billet (URL valide pendant 5 minutes) : http://sid.rstack.org/blog/tb.php?id=132&chk=jfw5d1

Commentaires

1. Le mercredi 3 janvier 2007 à 14:15, par Yom

Le premier concerne Quicktime... Certes c'est un produit Apple, mais ça n'est pas à proprement parler une faille dans Mac OS X. Bon, OK, j'avais très librement interprété le MoAB comme étant celui des failles dans l'OS, mais bon... Le second concerne... VLC. Alors là, comme toi, je trouve pas vraiment qu'il ait sa place dans la catégorie Apple Bugs. Si demain "on" trouve une faille dans, j'sais pas, disons GIMP au pif (ou pas...), on la rangera dans quoi ? Windows ? Apple ? Linux ? Ne se prononce pas ? Dernier point : les failles concernent-elles uniquement les Mac Intel ou bien affectent-elles z'aussi les "anciens" G3/G4 ?

2. Le mercredi 3 janvier 2007 à 14:38, par Greg

Pour la vuln vlc, même si elle n'est pas propre à la version OSX c'est peut-être parce que vlc est le player multimedia (packagé avec les codecs) le plus utilisé sur OSX pour lire ce que quicktime ne sait pas lire. En gros presque tous les maceux doivent l'utiliser je suppose.

Sous Windows et linux il y a déjà plus de choix (mplayer, xine, etc ... pour rester dans le libre).

Pour compléter, l'avis sceptique de Thomas Ptacek sur l'initiative : http://www.matasano.com/log/660/month-of-versiontracker-bugs/

On verra bien la réaction d'Apple à ce genre d'initiative. L'idéal serait que ça les motive pour avoir une base plus solide (une volonté qui semble déjà présente pour Leopard avec l'ajout de fonctionnalités de TrustedBSD). Microsoft a déjà fait pas mal de choses avec Vista (reste encore à voir le retour du grand public).

Si ça les pousse à penser de manière plus proactive, tant mieux ...

Réponse de Sid

La critique de Thomas Ptacek est effectivement pleine de bon sens.

Je suis cependant un peu moins catégorique que lui. Il n'aime pas les Mo*B, ce n'est pas mon cas. Cependant, je le rejoins sur le fait que si ça ne fait que satisfaire de l'ego de quelques uns, je n'en vois pas l'intérêt. Et malheureusement, c'est un peu ce que laisse penser cette faille VLC : on fait un gros coup de pub, vu que faille+Apple est un couple qui génère automatiquement du buzz, et après on bourre les trous comme on peut. Il est cependant un peu tôt pour les taxer de grand gueule amha.

Sinon, ces Mo*B ont je trouve l'intérêt de coller un bon coup de pied dans la fourmillière et remuer les idées reçues. Je suis d'ailleurs quelque peu déçu que la semaine du bug Oracle ait été abandonnée par Argenis. Ça n'aurait fait que sept bugs, mais au moins, ça les aurait obligé à se remuer un peu (et encore)...

Enfin, pour ce qui est de la réaction d'Apple, les motiver pour une base plus solide est certes une bonne idée, mais ils partent de nettement moins loin sur le sujet que Microsoft. Ils pourraient donc pas mal capitaliser sur les connaissances disponibles pour améliorer le schmiblick sans avoir à tout changer. Par contre, il y a deux points qu'il faudrait notablement impacter chez Apple :

arrêter de faire croire que MacOS X est une plateforme invulnérable et traiter avec dédain tout discours qui ne rejoint pas cette idée ;

se doter d'une véritable response team pour la gestion des failles de manière à fournir des correctifs dans des délais raisonnables, à commencer par toutes les failles connues et patchées sur FreeBSD, parce que se préparer à réagir, c'est aussi être proactif quelque part...

Et pour conclure, Kevin Finistere a répondu en commentaire sur l'histoire du VLC en commentaire au billet de Thomas.

3. Le mercredi 3 janvier 2007 à 15:25, par Greg

@Yom: je pense que le code source doit souvent être le même pour les archis Intel et PPC en userland ou même pour les parties génériques du kernel. Les vulns se retrouvent donc dans les deux archis. Ensuite la facilité d'exploitation peut varier selon le code compilé généré.

Il y avait des vulns spécifiques PPC dans le MOKB, je me rappelle de celle-ci http://kernelfun.blogspot.com/2006/11/mokb-starts....

Si tu as un mac PPC, le plus simple serait de tester l'exploit pour x86 et voir si ça fait planter l'application concernée. Et si c'est le cas, l'adapter.

4. Le mercredi 3 janvier 2007 à 20:52, par Yann

J'ai eu la même réaction cet après-midi en trouvant un lien sur ce MoAB.Pour moi, une faille dans VLC n'a rien avoir avec MacOS (ou presques). On verra les prochaines failles, mais comme tu le dis si bien, il va falloir meubler un peu.

Par contre, si ca peut réveiller Apple sur ce sujet, c'est très bonne chose. De plus, je trouve que l'initiative de Landon Fuller est bien, je ne sais pas si Apple est dernière, mais en tout cas, c'est un beau geste. Va-t-il être capable de le faire chaque jour...on verra bien.

Réponse de Sid

Fuller a l'air de tenir le rythme.

Troisième publication sur Apple Fun, patch dans la foulée ce matin, apparemment en moins de 12 heures. Chapeau.

5. Le mercredi 3 janvier 2007 à 22:10, par newsoft

Malheureusement prouver qu'un "buffer overflow" peut conduire à une exécution de code sur Mac OS X *est* utile ... Le monde Mac ne semble pas avoir la même expérience de la sécurité que le monde Windows :(

Hint : chercher "Simon Slavin" dans les archives de la liste Focus-Apple (ex. message du 19 juillet 2006).

Réponse de Sid

Ce message ?

http://www.full-disc-encryption.com/lurker/message...

J'aime bien sa conclusion en effet:

I'm getting dangerously close to revealing how to do bad
things here and I have no intention of doing that.
However, it's hard to take things like that seriously
until someone has actually demonstrated arbitrary machine
code that actually does something useful. I assure you I
am a real professional and when we start seeing exploits
that have any power I will start writing differently. But
until then, I don't know what I should tell people to get
alarmed about, because I don't know what could be
exploited.

C'est pathétique...

6. Le vendredi 5 janvier 2007 à 12:42, par jme

Touchez pas à mon mac ! Et pour les lecteurs vidéo, c'est soit VLC soit Mplayer sur mac avec le plugin-qui-bouffe-tout-le-cpu pour les vidéos Windows Media.

7. Le vendredi 5 janvier 2007 à 13:55, par Yom

From newsoft: "Le monde Mac ne semble pas avoir la même expérience de la sécurité que le monde Windows :("

Eh oui... Le monde Apple, c'est un peu les Télétubbies quand même : du soleil et des rires !

Mais c'est - aussi - pour ça qu'on les aime, les Mac ! Parce qu'un Mac, ça réveille le ch'tite n'enfant qui dort en toi... :-)

Réponse de Sid

Le monde Apple, c'est un peu les Télétubbies quand même

La preuve, même LA blonde en a un. D'ailleurs, je ne serais pas étonné que Barbie en utilise un aussi.

8. Le vendredi 5 janvier 2007 à 21:40, par newsoft

@sid: je crois que toute la "mailographie" de Simon Slavin est énorme ... et c'est pas moi qui le dit !

http://www.xml-dev.com/lurker/message/20061103....

9. Le mercredi 10 janvier 2007 à 20:39, par Sid

Landon Fuller tient toujours la barre. Ironiquement, le bug numéro 8 vise justement APE, l'outil qu'il utilise pour ses patches. Pas de bol. Surtout quand on voit pourquoi: le binaire est installé dans un répertoire en écriture pour l'utilisateur. Je vous passe les détails, vous imaginez facilement le reste...

Ma petite parcelle d'Internet...