Le premier véritable virus pour Mac OS exploite une vulnérabilité du système Apple

Le problème est lié à une erreur de permissions, présente au sein de ARDAgent, l’application permettant de prendre le contrôle d’une machine via Apple Remote Management).

Cette application possède des permissions spéciales : le setuid bit. Le setuid indique au système que l’exécution du programme devra être faite avec les droits de propriétaire du programme plutôt qu’avec les droits de l’utilisateurs courant.

Le programme ARDAgent appartient au super-utilisateur root. Ainsi, lors de l’exécution du programme, celui-ci détient les permissions root sans avoir à saisir le mot de passe de ce compte.

Les chercheurs de la société Intego ont démontrer le moyen de lancer des scripts "AppleScript" à travers ARDAgent. Ainsi, il est possible d’exécuter n’importe quelle commande avec les privilèges du compte root sans connaître le mot de passe. La commande en question a déjà été diffusée sur plusieurs forums.

Suite de l'article et source : GLOBASECURITYMAG (FR)