En attendant l’iPhone 5, l’iPanel ou encore la biographie vidéo de Steve Jobs, les utilisateurs et autres fans d’Apple étaient pour beaucoup tournés vers le cheval de Troie Flashback. Alors qu’était rapidement dévoilée une procédure manuelle pour assainir le système d’exploitation en cas d’infection et réduire la taille du botnet, Apple publiait les derniers jours un correctif officiel. On croyait les risques derrière nous mais voilà qu’une nouvelle vulnérabilité touche lesdits ordinateurs. De quoi réveiller l’ex-CEO dans sa tombe.
C’est une nouvelle fois une faille Java qui est exploitée par le trojan SabPub, comme découvert durant le week-end par des chercheurs en sécurité de Kaspersky. Connu par les professionnels du milieu sous son nom barbare de Backdoor.OSX.SabPub.a, le cheval de Troie a cependant un fonctionnement bien différent de Flashback. Alors que ce dernier se contentait de modifier les résultats de recherche au sein de votre navigateur, SabPub ouvre quant à lui des portes dérobées (backdoor) exposant ainsi l’OS et donc les données utilisateurs à d’autres attaques.
Pour se débarrasser de SabPub avec le finder, il convient de vérifier la présence et supprimer les fichiers suivants si nécessaires ; contenus dans le répertoire Bibliothèque du compte utilisateur :
- LaunchAgents/com.apple.PubSabAgent.plist
- Preferences/com.apple.PubSabAgent.pfile
Pour les utilisateurs étant à l’aise avec le terminal :
- rm ~/Library/LaunchAgents/com.apple.PubSabAgent.plist
- rm ~/Library/Preferences/com.apple.PubSabAgent.pfile
Attention cependant de ne pas confondre le second fichier avec un autre nommé com.apple.PubSubAgent.plist. Dans les deux cas, il est nécessaire de fermer et rouvrir la session utilisateur.
Outre la procédure sus-citée, veillez à faire les mises à jour de votre système d’exploitation !
