Avec Ventura 13.1, Apple a corrigé une vulnérabilité qui contournait différentes protections de macOS grâce à un package modifié. Cette faille permettait en effet d'installer un malware dans des emplacements réservés au système ou de complètement éviter Gatekeeper.
Un problème entre le 32 et le 64 bits
Attention, c'est un peu compliqué. La faille passe par la création d'un package (un .pkg sous macOS). Le package contient un fichier xar qui se compose de plusieurs choses. Un header, une table des matières (la TOC) et ce qu'on appelle le heap. Le header contient des informations sur le contenu, comme les algorithmes utilisés ou la taille de la TOC. La TOC, elle, liste le contenu du package, avec les adresses de début et de fin des fichiers, et le type de compression utilisée. Enfin, le heap contient réellement les données.
Vous suivez ? Continuons. Dans la TOC, il y a une zone qui renvoie vers des données du heap, et elle contient un checksum, c'est-à-dire le résultat d'un calcul précis. Ce checksum sert à vérifier que la TOC n'a pas été modifiée : si la valeur correspond à celle que l'OS calcule, tout va bien.
Passons à la faille. macOS vérifie deux choses avec un package signé : que le checksum correspond bien à celui de la TOC, et que la …
