Darwin Nuke : une vulnérabilité découverte dans iOS 8 et OS X 10.10

Par:
fredericmazue

ven, 10/04/2015 - 14:16

Les chercheurs en sécurité de Kaspersky Lab ont découvert une vulnérabilité au cœur de Darwin, un élément open source issu des deux systèmes d’exploitation OS X et iOS. Cette faille, dénommée « Darwin Nuke », expose les ordinateurs sous OS X 10.10 et les terminaux mobiles sous iOS 8 à des attaques par déni de service (DoS) déclenchées à distance, attaques qui peuvent impacter les réseaux d’entreprise les appareils seraient connectés, et peut-être même endommager les appareils, d'après ce billet, qui ne précise toutefois pas comment cela serait possible. Les experts de Kaspersky recommandent aux utilisateurs d'installer les mises à jour OS X 10.10.3 et iOS 8.3, qui ne présentent plus cette vulnérabilité.

Cette vulnérabilité est liée au traitement d'un paquet IP qui possède une taille spécifique et des options IP non valides. Elle permet à des attaquants à distance de provoquer le déni de service d'un périphérique tournant sous OS X 10.10 ou iOS 8. Il suffit aux attaquants d'envoyer à la victime un seul paquet réseau incorrect pour provoquer le plantage du système qu'elle utilise.

L'origine du problème se situe dans le morceau de code ci-dessous qui montre qu'un appareil peut se retrouver en situation de déni de service:

Les paquets IP doivent être ainsi formés, pour que la vulnérabilité puis être exploitée :

  • longueur de l’en-tête IP égale à 60 octets ;
  • taille des informations IP utiles inférieure ou égale à 65 octets ;
  • paramètres IP incorrects (longueur, classe, etc.).

Cependant, exploiter cette vulnérabilité n'est pas à la portée du premier venu.  « À première vue, il est très difficile d’exploiter cette faille car les conditions à remplir ne sont pas banales. Cependant des cybercriminels persévérants peuvent réussir à paralyser des équipements, voire à perturber l’activité de réseaux d’entreprise. Les routeurs et les pare-feux suppriment généralement les paquets incorrects en termes de taille mais nous avons découvert plusieurs combinaisons de paramètres IP incorrects qui permettent de franchir les routeurs Internet. Nous conseillons à tous les utilisateurs d’OS X 10.10 et iOS 8 d’installer les mises à jour OS X 10.10.3 et iOS 8.3 », précise Anton Ivanov, analyste senior en malware chez Kaspersky Lab.

Kaspersky Lab n'a pas précisé avoir connaissance d'exploits actifs de cette vulnérabilité.