> MacOS > Une faille dans la commande Sudo sur Mac (et Linux)

Une faille dans la commande Sudo sur Mac (et Linux)

Medhi Naitmazi
Il y a 3 ans
💬 Réagir
🔈 Écouter

Un bug sur la commande sudo qui peut accorder un accès root à un attaquant a été découvert par des chercheurs en sécurité et peut affecter macOS Big Sur.

macos sudo terminal faille

Une faille importante sur Mac et Linux

La vulnérabilité, identifiée la semaine dernière sous le doux nom de «CVE-2021-3156» par l'équipe de sécurité de Qualys, affecte sudo, qui est une commande qui permet aux utilisateurs d'exécuter d’autres commandes avec les privilèges de sécurité d'un autre utilisateur, tel qu'un administrateur. Le bogue déclenche un "heap overflow" dans sudo qui modifie les privilèges de l'utilisateur actuel pour permettre l'accès au niveau racine. Cela peut permettre à un attaquant d'accéder à l'ensemble du système. Le pirate devrait d'abord obtenir un accès de bas niveau à un système pour pouvoir exploiter le bogue, par exemple via un logiciel malveillant implanté.

Sudo fait partie de nombreux systèmes de type Unix, y compris macOS, mais n'a été initialement testée par Qualys que sur Ubuntu, Debian et Fedora. Le chercheur en sécurité Matthew Hickey a par la suite confirmé que la version la plus récente de macOS, macOS Big Sur 11.2, peut être soumise à l'attaque sudo. Idem pour les anciennes versions car la faille existe depuis au moins 10 ans.

CVE-2021-3156 also impacts @apple MacOS Big Sur (unpatched at present), you can enable exploitation of the issue by symlinking sudo to sudoedit and then triggering the heap overflow to escalate one's privileges to 1337 uid=0. Fun for @p0sixninja pic.twitter.com/tyXFB3odxE
— Hacker Fantastic 📡 (@hackerfantastic) February 2, 2021

Avec quelques modifications mineures, Hickey a découvert que le bogue sudo pouvait être utilisé pour accorder aux attaquants l'accès aux comptes racine macOS, et la découverte a maintenant été vérifiée par l'analyste spécialisé de l'Université Carnegie Mellon Will Dormann.

Can confirm with macOS Big Sur on both x86_64 and aarch64. pic.twitter.com/nQqQ8rskv7
— Will Dormann (@wdormann) February 2, 2021

Apple aurait été informé de la vulnérabilité CVE-2021-3156 et, en raison de la gravité du problème, un correctif sera probablement publié prochainement. Sans doute via MacOS 11.2.1.

Article précédentApple Car : une voiture autonome sans conducteur selon CNBC

Article suivantApple TV+ : Ted Lasso est (encore) nominé pour trois prix Writers Guild of America

Vous aimerez peut-être

Nos derniers articles

MacOSApple publie macOS 14.4.1 pour corriger plusieurs bugs25/03 Russo
MacOSUn bug de macOS Sonoma 14.4 supprime l'historique des fichiers dans iCloud Drive19/03 Alban
MacOSmacOS 14.4 : Oracle alerte sur la mise à jour par rapport à Java16/03 Russo
MacOSmacOS Sonoma 14.4 n'aime pas les imprimantes15/03 Alban
MacOSmacOS Sonoma 14.4 a du mal avec les hub USB13/03 Alban
iOS / iPadOSLes nouveautés d'accessibilité pour iOS 18 et macOS 15 ont fuité08/03 Alban
MacOSApple lance la version finale de macOS Sonoma 14.4 avec le support des MacBook Air M307/03 Medhi
iOS / iPadOSApple lance la bêta d'iOS 17.4, iPadOS 17.4, tvOS 17.4, watchOS 10.4 et macOS 14.4 (màj : RC)04/03 Medhi
iOS / iPadOSBloomberg confirme le design d'iOS 18 inspiré par visionOS, macOS 16 aussi en 202525/02 Medhi
iOS / iPadOSApple corrige les problèmes de texte avec iOS 17.3.1 et macOS 14.3.1 (+ watchOS 10.3.1)08/02 Russo
MacOSApple publie la version finale de macOS 14.3 Sonoma22/01 Medhi
iOS / iPadOSVoici la RC d'iOS 17.3, tvOS 17.3, macOS 14.3 et watchOS 10.317/01 Medhi
iOS / iPadOSBêta 3 pour iOS 17.3, tvOS 17.3, macOS 14.3 et watchOS 10.309/01 Russo
iOS / iPadOSApple publie iOS 17.2.1 et macOS 14.2.119/12 Russo
MacOSmacOS 14.2 Sonoma est disponible au téléchargement pour tous11/12 Medhi
iOS / iPadOSApple lance la RC d'iOS 17.2, watchOS 10.2, tvOS 17.2 et macOS 14.2 (màj)07/12 Medhi
iOS / iPadOSApple corrige le bug du Wi-Fi avec iOS 17.1.2 et lance macOS 14.1.230/11 Medhi
MacOSLa Corée du Nord a récemment combiné des logiciels malveillants pour cibler macOS29/11 Russo
iOS / iPadOSQuatrième bêta pour iOS 17.2, tvOS 17.2, watchOS 10.2 et macOS 14.228/11 Russo
MacOSVoici les gestes de réaction dans FaceTime sur macOS Sonoma28/11 Alban

Suivez-nous avec notre app iSoft

Articles populaires

L'app iSoft 9.0.1 est déjà là avec vos retours (màj : 9.0.7)Applications mobile 💬 101
Les meilleures coques pas chères pour iPhone 15 / Plus et iPhone 15 Pro / MaxAccessoires Apple 💬 40
iGBA : l'émulateur Game Boy débarque sur l'App Store (màj)Jeux mobile 💬 27
Apple pourrait devoir autoriser la suppression de l'app Photos en EuropeServices Apple 💬 26
La phénoménale Apple Watch Ultra est en promo à 719 € Apple Watch 💬 18
La justice américaine veut transformer l'iPhone en Android, selon AppleActualité Apple 💬 18
Apple aurait tué le Windows Phone selon le DOJ américainWindows 💬 18
Une promo sur le MacBook Air M2 256 Go à 1 089 €, 512 Go à 1 279 € Mac 💬 17
AltStore PAL est le premier store alternatif avec l'émulateur Delta Applications mobile 💬 17
Spotify : augmentation générale des prix à venir, la France aussi touchée Applications mobile 💬 16

Donner votre avis

Les réactions

Aucun commentaire pour le moment, lancez la discussion.