La 8ème édition de CanSecWest s'est tenue à Vancouver du 18 au 20 avril. Outre les conférences et les dojos habituels, il y a eu un petit concours consistant à prendre le contrôle à distance de deux Apple Mac OS X comprenant tous les derniers correctifs de sécurité. A gagner : les Macbooks eux-mêmes ! Pour mettre un peu plus de piment dans l'affaire, TippingPoint, filiale de 3COM et créateur du Zero Day Initiave, a rajouté 10 000 dollars dans la balance.

Dans un premier temps, les participants n'avaient comme information que le nom du réseau Wifi mis en place ("SSID"). Aucun d'entre eux n'auraient alors réussi à prendre le contrôle des machines. Les organisateurs leur donnent alors une adresse de courriel en indiquant qu'ils navigueront sur tout lien présent dans les messages avec Safari. Il n'en fallait pas plus à deux chercheurs en sécurité pour mettre en place une page web malicieuse contenant une "0-day" pour le navigateur d'Apple et gagner le concours.

Ils ont en effet pu installer un interprète de commandes distant avec les droits de l'utilisateur ayant visité la page. La faille semble se situer dans Quicktime au niveau des fonctions concernant la prise en charge de Java. La mauvaise nouvelle est qu'elle serait apparemment exploitable quel que soit le navigateur (donc sous Mozilla Firefox aussi) et que la version Microsoft Windows de Quicktime serait aussi impactée.

En attendant un correctif officiel, désactiver la prise en charge de Java dans le navigateur semble empêcher l'exploitation de la vulnérabilité. Vous pouvez retrouver tous les détails sur notre bulletin Ref. Lexsi 8453.