Des hackers ont exploité deux failles dans Firefox pour installer un porte dérobée sur des Mac. Mozilla a comblé les vulnérabilités avec la version 67.0.4 de Firefox sortie hier. La mise à jour est donc chaudement recommandée à tous les utilisateurs (elle s’applique normalement automatiquement lors d’un redémarrage).
Les hackers ont visé des employés de Coinbase, une plateforme populaire d’achat et de vente de cryptomonnaies. D’après le responsable de la sécurité de Coinbase, l’attaque a été bloquée et aucun utilisateur de la plateforme n’aurait été visé directement. Il ajoute que d’autres plateformes cryptomonnaies ont été la cible d’une attaque identique.
Dans une analyse technique, l’expert en sécurité Patrick Wardle relève que le malware installé en douce n’était détecté hier que par un logiciel de sécurité sur une cinquantaine. Au moment de l’écriture de ces lignes, ils sont désormais une petite dizaine à l’identifier.
Ce programme malveillant, appelé NetWire, n’est pourtant pas nouveau et est normalement reconnu par XProtect et Gatekeeper, les filets de sécurité intégrés à macOS, sauf qu’une anomalie dans son processus de téléchargement fait qu’il est ignoré par ces protections. Dans le cas de ces failles de Firefox, macOS « oublie » d’ajouter l’attribut qui déclenche la vérification du fichier téléchargé.
Le système de vérification pourrait évoluer avec macOS Catalina. Tous les fichiers, et pas seulement ceux provenant d’internet (et normalement identifiés comme tel), pourraient être contrôlés par XProtect.
Source : Ars Technica
