La vulnérabilité de macOS via Office, corrigée avec sa dernière version pour macOS 10.15.3

office pour macOS

Mercredi dernier, Patrick Wardle a mis en garde et a montré une vulnérabilité dans macOS accessible via le programme Office. Plus précisément, cet exploit est accessible via les macros du programme d'édition de texte. Une macro peut être définie comme une série de commandes et d'instructions regroupées dans la même commande pour terminer automatiquement une tâche. Heureusement, le problème a déjà été corrigé avec la dernière version d'Office pour macOS 10.15.3

Patrick Ward, L'ingénieur en sécurité de Jamf et ancien hacker de la NSA, spécialisé dans la recherche et la recherche de vulnérabilités dans macOS, a montré mercredi dernier à la conférence «Black Hat» et à travers son blog, car les données Mac sensibles sont accessibles via des macros exécutées dans Office. Même si c'est assez difficile à réaliser et mener à bien cet exploit, il peut être réalisé et une fois qu'il montre, qu'il n'y a rien d'imprenable.

Les macros Office ont été utilisées à de nombreuses reprises pour accéder aux vulnérabilités des ordinateurs Windows. Des Mac peuvent également être développés. En créant un fichier dans un ancien format .slk, Wardle a pu faire exécuter des macros à Office sans alerter l'utilisateur. Ajout d'un caractère "$" au début du nom de fichier. Cela a permis à Wardle échapper au bac à sable macOS. Enfin, Wardle a compressé le fichier au format .zip Il l'a fait de cette façon car macOS ne vérifie pas ces types de fichiers avec les exigences de certification.

Pour la tranquillité d'esprit des utilisateurs, il faut souligner que c'est un exploit assez difficile à exécuter et que vous devez encore authentifier certaines des actions lors de la connexion. 

Logiquement Patrick Wardle a signalé cette faille de sécurité à Microsoft et à Apple. Cependant, selon ses propos, la société Apple ne lui a pas répondu.


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.