falou Posté(e) le 20 juin 2008 Partager Posté(e) le 20 juin 2008 Une faille importante dans ARDagent a été exploitée par un Trojan (Troyen, cheval de Troie...) nommé AppleScript.THT. Il transforme le firewall en gruyère, peut permettre la prise de contrôle distante, exécuter du code malicieux, le tout en tant que root, transmettre les mots de passe. Bref c'est méchant. Les noms des fichiers transférés originels sont ASthtv05 (AppleScript) ou AStht_v06(application). Il s'implante après dans /Bibliothèque/Caches. MacScan 2.5.2 est capable de la virer ça, entre autres cochonneries tout comme Virus Barrier. L'activation de Gestion à distance (dans Partage du panneau de contrôle) contrerait les effets pervers de ce Trojan. Pour info il peut être utilisé à la place de partage d'écran; il gère VNC et permet d'être informé quand on se connecte sur l'ordinateur. Sources: SecureMac et Macbidouille. PS: rappelez-vous que là où on risque le plus de récupérer des cochonneries sont les sites X et le p2p. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ryu Posté(e) le 21 juin 2008 Partager Posté(e) le 21 juin 2008 Oulà il a l'air sérieux celui là Juste pour savoir, il sert à quoi ARDagent ? Tout les Macs sont concernés ? Merci pour ce post en tout cas Falou :copain: Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 21 juin 2008 Auteur Partager Posté(e) le 21 juin 2008 C'est une sorte de processus client pour Apple Remote Desktop. C'est de l'Applescript donc oui ça peut toucher tout Mac sous OS X 10.4 et 10.5 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ryu Posté(e) le 21 juin 2008 Partager Posté(e) le 21 juin 2008 Oki, je ferais un scan sur mon iBook avec MacScan alors, merci Edit : Scan effectué sur l'iBook et RAS :copain: Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 21 juin 2008 Auteur Partager Posté(e) le 21 juin 2008 Moi il m'a toruvé des cookies espions dans Firefox. Lien vers le commentaire Partager sur d’autres sites More sharing options...
kyro Posté(e) le 21 juin 2008 Partager Posté(e) le 21 juin 2008 evite les site de pr0n Falou Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 21 juin 2008 Auteur Partager Posté(e) le 21 juin 2008 Site de quoi ? Apparemment c'étaient des machins pour de balancer des pubs selon les sites visités; ce qui explique que je n'ai pas le souci avec Safari (plus strict avec les cookies et adblock) Lien vers le commentaire Partager sur d’autres sites More sharing options...
kyro Posté(e) le 21 juin 2008 Partager Posté(e) le 21 juin 2008 Raah, Laisse tombé si tu comprend pas Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 21 juin 2008 Auteur Partager Posté(e) le 21 juin 2008 Raah, Laisse tombé si tu comprend pas Toi laisse tomber... C'était une façon de faire comprendre que ça risquait pas d'arriver... Lien vers le commentaire Partager sur d’autres sites More sharing options...
LeMarcus Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Salut à tous, j'ai utilisé le script suivant : tell application "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent" et ensuite pour vérifier si cela avait fonctionné : tell application "ARDAgent" to do shell script "whoami" Seulement il ne me renvoit pas un message d'erreur, dans la petite fenêtre de l'éditeur de script il m'indique "Marcus" ... Cela veut dire que la faille est toujours accessible ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
JeremyF Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Non, si ça avait affiché "root", là la faille était encore présente. Mais dans ton cas, le message d'erreur et ton nom de session indique qu'il n'utilise plus les droits root. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Metal_Snake Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Bon j'ai fait la manip, qui me répond mon login, même après avoir quitté l'éditeur de script sans enregistrer. Donc la faille semble être bouchée chez moi. Lien vers le commentaire Partager sur d’autres sites More sharing options...
JeremyF Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Moi j'm'emmerde pas tant, je sais que je télécharge ni n'exécute n'importe quoi à tout va. Même sur Windows, sans vraiment de protection, je reste clean Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 24 juin 2008 Auteur Partager Posté(e) le 24 juin 2008 Pareil pour moi. Ces annonces rendent nerveux, mais on sait bien où on récupère ces machins en général. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ryu Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Idem pour moi, mes windows sont sains généralement :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
tsubasaleguedin Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Si c'est une faille systeme t'a pas a aller sur un site X ou je sais pas quoi. Dans le cas d'une faille systeme ( comme blaster ), ce sont des programmes qui scan les plages ip et balance les paquets en question au service concerner. Pas besoin d'action de l'utilisateur ! Si c'est une faille systeme, il reste a esperer que apple diffuse rapidement un fix. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Metal_Snake Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Moi j'm'emmerde pas tant, je sais que je télécharge ni n'exécute n'importe quoi à tout va. De même. Mais bon, il y a une solution, alors plutôt que de tenter le diable... Lien vers le commentaire Partager sur d’autres sites More sharing options...
JeremyF Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 C'est pas tenter le diable que de savoir ce qu'on fait. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Metal_Snake Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 C'est pas tenter le diable que de savoir ce qu'on fait. Non ce que je voulais dire ce que si tu as un verrou pour fermer une porte sachant qu'il y a un violeur dehors, même si tu habites au fin fond d'une forêt à 200km de là, ça ne coute rien de fermer... Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 24 juin 2008 Auteur Partager Posté(e) le 24 juin 2008 Il est dans la nature humaine de combler les trous Lien vers le commentaire Partager sur d’autres sites More sharing options...
PoSKaY Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Mouais, j'ai rien fait sur aucun de mes 2 Macs et c'est pas au programme ... Vu ce que je fais actuellement je peux bien attendre la màj de sécu. Lien vers le commentaire Partager sur d’autres sites More sharing options...
l1086 Posté(e) le 24 juin 2008 Partager Posté(e) le 24 juin 2008 Bonsoir, j'ai voulu testé voire si j'avais cette faille en faisant donc : tell application "ARDAgent" to do shell script "whoami" Mais voilà appel script me sort un belle erreur Erreur dans ARDagent : Délai depassé pour AppleEvent c'est normal ou pas ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Metal_Snake Posté(e) le 25 juin 2008 Partager Posté(e) le 25 juin 2008 Vous ne trouvez pas qu'Apple est bien longue à réagir d'ailleurs? Surtout vu le délai qu'a mis la solution "amateur" pour apparaître Lien vers le commentaire Partager sur d’autres sites More sharing options...
falou Posté(e) le 30 juin 2008 Auteur Partager Posté(e) le 30 juin 2008 La 10.5.4 ne semble pas boucher se trou... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.