En début de mois, Apple expliquait que les applications disponibles au téléchargement depuis sa plateforme Mac App Store devrait proposer le mode sandboxing (bac à sable) à partir de mars 2012. Il s'agit d'un dispositif de protection du système en limitant le type d'opérations qu'une application peut effectuer. En l'occurrence, à moins de formuler une dérogation auprès d'Apple, l'application ne pourra accéder qu'aux dossiers pré-définis par Apple (documents, photos...), aux disques branchés sur les ports USB ou à certaines applications pré-installées telles que le carnet d'adresses ou le calendrier.
Cependant selon les chercheurs du cabinet Core Technologies les profils de sécurité définis par Apple ne bloqueraient pas tous les mécanismes. En l'occurrence il serait possible d'utiliser le langage AppleScript afin de forcer l'accès à Internet pour une application initialement conçue pour ne pas y accéder. Interrogé par le magazine Threat Post, Ariel Waissbein, directeur de CoreLabs, explique qu'une faille présente au sein d'un carnet d'adresses ne disposant pas de droits suffisants pour accéder au réseau pourrait être exploitée via l'envoi par email d'un fichier vcard vérolée par exemple.
Cette vulnérabilité, qui pré-suppose donc l'exploitation d'une faille par un hacker, toucherait les utilisateurs de Mac OS X 10.5.x, 10.6.x, 10.7.x. Retrouvez davantage d'informations sur cette page.
