Mac OS X : une vulnérabilité Java vieille de six mois

Au mois de décembre 2008, Sun Microsystems a corrigé une vulnérabilité Java en publiant Java 6 Update 11. Près de six mois plus tard, cette vulnérabilité représente toujours une menace potentielle pour les utilisateurs Mac OS X et ce même malgré la récente publication d'une copieuse mise à jour 10.5.7 pour l'OS.

Pour les autres plates-formes dont Windows et Linux, cette vulnérabilité est de l'histoire ancienne mais pour le cas de Mac OS X, le problème est un petit peu différent dans la mesure où Java for Mac OS X est maintenu par Apple.

Ladite vulnérabilité permet à du code malveillant de sortir du bac à sable Java et d'exécuter des commandes arbitraires avec les droits de l'utilisateur. Le spécialiste en sécurité Landon Fuller parle d'une exploitation triviale via la consultation d'une page Web hébergeant une applet Java non sûre.

Comme pour donner un petit coup de pied au derrière d'Apple, Fuller propose une preuve de concept et ce avec d'autant moins de scrupule qu'il précise qu'un code exploit a déjà été rendu public. La visite de cette page déclenche alors l'exécution par une applet Java de " /usr/bin/say " sur le système, avec les droits de l'utilisateur courant.

The H Security a testé la POC de Fuller sur une machine équipée Mac OS X 10.5.7 et a eu droit à l'affichage du message : " I am executing an innocuous user process ". Un avertissement pour dire qu'un processus utilisateur est exécuté; évidemment rien à craindre en l'occurrence ( il s'agit d'une POC ).

En attendant une possible réaction d'Apple, la mesure de contournement consiste à désactiver la prise en charge Java dans le navigateur Web.