Apple vient de publier la mise à jour macOS Big Sur 11.4, qui corrige notamment une faille zero-day découverte en analysant le malware XCSSET. Celui-ci peut prendre des captures d’écran sans en demander la permission.

Un mois seulement après avoir corrigé une précédente faille dans son système d’exploitation, Apple vient de publier une nouvelle mise à jour pour contrer un malware. Une vulnérabilité zero-day permet à une application de se faire passer pour une autre, et ainsi d’obtenir des autorisations sans en faire la demande à l’utilisateur.

La faille a été découverte par la société Jamf en analysant le malware XCSSET, qui a été détecté pour la première fois en 2020 par Trend Micro. Ce programme vise les développeurs Apple afin d’infecter leurs applications qui seront ensuite distribuées aux utilisateurs. Il exploite ensuite deux vulnérabilités zero-day pour voler des cookies dans Safari afin d’accéder aux comptes de l’utilisateur, et pour installer une version de développement de Safari. Le malware est toujours en développement actif et a été adapté aux nouveaux appareils dotés de processeurs M1.

Une faille « zero-day » exploitée pour prendre des captures d’écran

XCSSET utilise également une troisième vulnérabilité zero-day pour prendre des captures d’écran. Pour accéder à cette fonction, un programme sur macOS doit normalement demander l’autorisation à l’utilisateur. Pour contourner cet obstacle, le malware vérifie la présence d’applications qui auraient déjà ces permissions, comme Zoom. Il place ensuite son code à l’intérieur de l’application légitime héritant ainsi de l’accès aux captures d’écran sans avoir à en faire la demande.

La version analysée du malware se limite aux captures d’écran, mais pourrait tout aussi bien accéder au microphone et à la webcam de la même manière. Apple a corrigé cette nouvelle faille dans la mise à jour macOS Big Sur 11.4, publiée hier. Pensez donc à vous assurer que votre Mac est bien à jour.