Le centre de recherche CoreLabs de la société de sécurité Core Security Technologies ( basée en Argentine ) a publié un avis de sécurité au sujet d'une vulnérabilité d'exécution de code à distance qui affecte la procédure de sandbox de Mac OS X.

Le sandboxing consiste à protéger le système en limitant les ressources auxquelles des applications peuvent avoir accès. Ainsi, des logiciels malveillants peuvent plus difficilement corrompre un système.

À partir du 1er mars 2012, ce modèle du bac à sable sera notamment obligatoire pour toutes les applications proposées via le Mac App Store d'Apple, disponible avec Mac OS X Lion et son prédécesseur Snow Leopard.

CoreLabs souligne que le problème découvert est similaire à celui rapporté par le chercheur en sécurité Charlie Miller en 2008 et pour lequel Apple avait procédé à quelques modifications de certains profils afin de restreindre l'utilisation d'événements.

D'après CoreLabs : " plusieurs des profils de sandbox prédéfinis par défaut ne limitent pas correctement tous les mécanismes disponibles et ainsi permettent d'exercer une partie d'une fonctionnalité restreinte ".

Plus spécifiquement, CoreLabs fait référence à une application compromise censée être restreinte par un profil de sandbox sans réseau qui peut néanmoins avoir accès aux ressources du réseau via des événements Apple ( Apple Script ). Ces derniers font pour cela appel à l'exécution d'autres applications non directement limitées par la sandbox.

Il semble donc qu'un profil de sandbox sans réseau ne permette pas de restreindre ce qu'il est censé restreindre. Sur son blog, Core Security Technologies critique l'attitude d'Apple : " en dépit de nos efforts, le vendeur a choisi de ne pas corriger le code que nous avons identifié vulnérable ".

Core Security Technologies met en balance le comportement d'Adobe qui a de son côté corrigé une vulnérabilité rapportée par ses soins dans Shockwave Player. La collaboration avec Apple n'a pas été aussi fructueuse pour le moment, ce qui a le don d'énerver la société de sécurité qui met en avant sa divulgation pourtant responsable de failles.