OS X : Google dévoile 3 vulnérabilités importantes

Les spécialistes en sécurité informatique de l'équipe Project Zero chez Google ont publié cette semaine des rapports faisant mention d'importantes failles affectant le système d'exploitation d'Apple.

Bien qu’il est essentiel pour un pirate d’avoir déjà accès au Mac ciblé avant d’exploiter chacune de ces nouvelles failles, elle lui permettra d’élever le niveau des privilèges de son accès afin de prendre le contrôle du système.

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise.

La première faille se nomme affectueusement OS X networkd “effective_audit_token” XPC type confusion sandbox escape (with exploit). Elle implique le détournement de commandes du système réseau, mais ses effets «pourraient être atténués sous OS X Yosemite» aux dires de CNET.

La seconde faille, dont le nom est tout aussi sexy (OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator), est due à des opérations de mémoire incorrecte effectuée lors du traitement de requêtes. Selon Cisco, «un attaquant peut exploiter cette vulnérabilité en exécutant un programme conçu pour envoyer des requêtes malicieuses au module du noyau ciblé».

Finalement, la troisième faille, OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice, comprend une vulnérabilité liée à la structure du noyau d’OS X.

Chacune de ces failles, comme c’est le cas avec toutes les autres qui ont été dévoilées par Project Zero précédemment, inclut une preuve de concept démontrant leur validité.

Apple était pourtant au courant depuis 3 mois

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise. La politique de Google concernant la publication de failles trouvées par ses ingénieurs 90 jours suivant leurs découvertes a donc été appliquée cette semaine.

«Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition», souligne l’entreprise dans sa politique à l’égard de la sécurité de ses produits.

Ce n’est pas la première fois que l’équipe de Project Zero dévoile des vulnérabilités importantes affectant le système d’exploitation de l’un des concurrents de Google. Au cours des derniers mois, Microsoft a été l’objet de telles divulgations concernant des failles exploitables dans Windows.

Subscribe To Our Newsletter

Get updates and learn from the best

Articles Récents

Inazuma Eleven : Victory Road
Jeux vidéo

Une démo pour Inazuma Eleven : Victory Road

Les fans de jeux Nintendo Switch peuvent se réjouir, car la démo de Inazuma Eleven : Victory Road est enfin disponible sur le Nintendo Switch

Branchez-Vous

Restez informé sur toute L’actualité techno.

Branchez-vous est un producteur québécois de contenu portant sur tout ce qui se rapporte à la technologie, mettant l’accent sur l’actualité, les chroniques d’opinions, les bancs d’essai de produits et des sujets destinés tant aux technophiles qu’au grand public.