Une vulnérabilité de type "jour-zéro" identifiée par un chercheur indépendant sur le gestionnaire de mot passe de macOS (Keychain)

Un chercheur en sécurité indépendant, Linus Henze, a découvert une vulnérabilité de type "jour-zéro" sur la dernière version de macOS.

La vulnérabilité a été identifiée dans le logiciel Keychain d'Apple, gestionnaire de mots de passe du constructeur, et permet à un attaquant de récupérer la liste des mots de passe pour les sites et applications utilisés sur le poste. Le chercheur allemand, spécialisé dans la recherche de vulnérabilités sur les systèmes macOS et iOS, a publié une démonstration en vidéo de la preuve de faisabilité de l'exploitation de cette vulnérabilité qu'il a baptisée KeySteal.

L'exploitation de cette vulnérabilité ne nécessiterait pas de privilège d'administrateur, root ou d'invite de mots de passe. L'impact sur la confidentialité des données est élevée.

Détails techniques

CVE-2019-8526 [CVSS v3 7.80] : Cette vulnérabilité pourrait être exploitée par un attaquant à l'aide d'un code spécialement conçu. Une fois le code injecté, l'attaquant pourrait récupérer des identifiants de type nom d'utilisateur et mot de passe de sites de toutes les applications faisant appel à Keychain. La compromission initiale pourrait être également effectuée en ajoutant le code dans une application légitime ou encore en visitant un site qui lancerait l'exécution du code malveillant.

L'ensemble de ces informations ont été confirmées par un autre chercheur, Patrick Wardle, qui a vraisemblablement eu la possibilité de reproduire lui-même l'exploit.

Apple ne propose pas à l'heure actuelle de correctifs pour les vulnérabilités identifiées pour macOS. De son côté, le chercheur a indiqué plusieurs solutions de contournement possibles en attendant une future mise à jour.