L’équipe de sécurité de Dropbox a dévoilé trois vulnérabilités zero-day qui affectent le système d’exploitation Apple MacOS.
Il suffit pour les hackers d’inciter les victimes à visiter un site web spécialement conçu et ainsi réaliser facilement leur attaque.
Ces failles permettent d’exploiter Safari, d’enregistrer de nouvelles extensions de fichiers et d’activer des applications considérées comme sûres sans l’accord de l’utilisateur :
- La vulnérabilité CVE-2017-13890 affecte le composant CoreTypes de macOS. L’affichage d’une page Web malicieuse peut entraîner le montage automatique d’une image disque.
- La faille CVE-2018-4176 concerne la façon dont les images disque traitaient les fichiers « .bundle ».
Le montage d’une image disque malveillante peut entraîner le lancement d’une application. - La dernière vulnérabilité suivie (CVE-2018-4175) pourrait être exploitée pour contourner la fonction de sécurité macOS Gatekeeper en utilisant une application malveillante.
Cette nouvelle faille, simple à mettre en œuvre, montre une fois encore que tout système est cassable.
La formation des utilisateurs à une bonne hygiène informatique (sécurisation des postes informatique, systématisation des mises à jour, sensibilisation aux menaces potentielles) est un élément à ne pas négliger.