Apple a déployé une mise à jour pour son système d'exploitation macOS Big Sur afin de corriger une ribambelle de failles de sécurité, dont une vulnérabilité qui pourrait permettre aux logiciels malveillants de contourner les mécanismes de protection intégrés du système d'exploitation.

La vulnérabilité, connue sous le nom de CVE-2021-30657, pourrait permettre à un acteur malveillant de créer une charge utile capable de contourner Gatekeeper - la fonction de sécurité de macOS qui applique la signature de code et vérifie les applications téléchargées afin d'empêcher les logiciels malveillants de pénétrer dans les appareils Mac.

« Cette charge utile peut être utilisée dans le cadre d'un hameçonnage et tout ce que la victime doit faire, c'est double-cliquer pour ouvrir le fichier .dmg et double-cliquer sur la fausse application qu'il contient - aucune fenêtre contextuelle ni aucun avertissement de macOS ne sont générés », précise le chercheur en sécurité Cedric Owens, qui a découvert la faille de sécurité avant de la signaler à Apple le 25 mars. Le titan de la technologie a comblé la vulnérabilité en cinq jours avec Big Sur 11.3 Beta 6.

Avant la publication de la mise à jour, Owens a demandé au chercheur en sécurité Mac Patrick Wardle, d'Objective-See, de regarder sous le capot de ce méchant macOS. Wardle a découvert qu'il provenait d'une faille logique dans le sous-système de politique de macOS, une faille qui, selon lui, « permettrait l'exécution d'une application non signée et non-autorisée, alors qu'elle devrait clairement être bloquée de manière retentissante! »

Wardle a créé une application de preuve de concept qui était capable de contourner toutes les mesures de sécurité de macOS, telles que Gatekeeper, File Quarantine et Notarization Requirements. L'application était même capable de contourner ces mécanismes sur une machine entièrement à jour, arborant la nouvelle puce M1 d'Apple.

« Comme on peut le voir, cette faille peut entraîner une classification erronée de certaines applications, et donc faire en sorte que le moteur de politique saute une logique de sécurité essentielle comme l'alerte de l'utilisateur et le blocage de l'application non fiable », explique Wardle. Toutefois, il a ajouté que le correctif publié par Apple corrige les problèmes de classification et permet de s'assurer que les applications non fiables et non autorisées sont bloquées.

Wardle a également contacté Jamf, une société spécialisée dans les solutions de gestion d'entreprise d'Apple, pour voir s'il y avait des signes d'abus de la vulnérabilité dans la nature. Malheureusement, son équipe de détection a confirmé avoir vu l'exploit utilisé dans la nature par une variante de Bundlore.Adware, plus connue sous le nom de Shlayer, qui se propage en utilisant des résultats de moteur de recherche empoisonnés.

Pour limiter les risques de laisser votre appareil ouvert aux attaques, vous devriez mettre à jour votre ordinateur vers macOS Big Sur 11.3 dès que possible.

Un dernier point

Apple a également publié une mise à jour pour les appareils iOS et iPad OS qui colmate un zero-day indexé sous le nom de CVE-2021-30661. La faille est un bug de type use-after-free et réside dans le composant WebKit Storage des systèmes d'exploitation.

La description de la faille précise : « le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur. »

La liste des appareils touchés comprend les téléphones 6s et ultérieurs, toutes les versions de l'iPad Pro, l'iPad Air 2 et ultérieur, l'iPad de 5e génération et ultérieur, l'iPad mini 4 et ultérieur, et la 7e génération d'iPod touch. Le géant de la technologie a également publié des mises à jour de sécurité pour résoudre le même problème qui touche les produits Apple Watch (watchOS 7.4) et Apple TVs (tvOS 14.5).

Vos appareils devraient se mettre à jour automatiquement si vous avez activé l'option. Si ce n'est pas le cas, vous pouvez le faire manuellement en passant par le menu Paramètres. Pour en savoir plus sur les mises à jour, vous pouvez vous référer à la page des mises à jour de sécurité d'Apple.