All time Branchez-vous Branche Toi BetterBe Nerds Carrières

OS X : Google dévoile 3 vulnérabilités importantes

Par Laurent LaSalle – le dans Actualités
Les spécialistes en sécurité informatique de l'équipe Project Zero chez Google ont publié cette semaine des rapports faisant mention d'importantes failles affectant le système d'exploitation d'Apple.

Bien qu’il est essentiel pour un pirate d’avoir déjà accès au Mac ciblé avant d’exploiter chacune de ces nouvelles failles, elle lui permettra d’élever le niveau des privilèges de son accès afin de prendre le contrôle du système.

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise.

La première faille se nomme affectueusement OS X networkd « effective_audit_token » XPC type confusion sandbox escape (with exploit). Elle implique le détournement de commandes du système réseau, mais ses effets «pourraient être atténués sous OS X Yosemite» aux dires de CNET.

La seconde faille, dont le nom est tout aussi sexy (OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator), est due à des opérations de mémoire incorrecte effectuée lors du traitement de requêtes. Selon Cisco, «un attaquant peut exploiter cette vulnérabilité en exécutant un programme conçu pour envoyer des requêtes malicieuses au module du noyau ciblé».

Finalement, la troisième faille, OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice, comprend une vulnérabilité liée à la structure du noyau d’OS X.

Chacune de ces failles, comme c’est le cas avec toutes les autres qui ont été dévoilées par Project Zero précédemment, inclut une preuve de concept démontrant leur validité.

Apple était pourtant au courant depuis 3 mois

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise. La politique de Google concernant la publication de failles trouvées par ses ingénieurs 90 jours suivant leurs découvertes a donc été appliquée cette semaine.

«Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition», souligne l’entreprise dans sa politique à l’égard de la sécurité de ses produits.

Ce n’est pas la première fois que l’équipe de Project Zero dévoile des vulnérabilités importantes affectant le système d’exploitation de l’un des concurrents de Google. Au cours des derniers mois, Microsoft a été l’objet de telles divulgations concernant des failles exploitables dans Windows.

Continuez votre lecture

Une faille 0-day dans macOS, Apple poussé par Google à réagir

Une faille 0-day dans macOS, Apple poussé par Google à réagir

Branchez-vous -
Faites la mise à jour de vos produits Apple immédiatement

Faites la mise à jour de vos produits Apple immédiatement

Laurent LaSalle -
Vulnérabilité importante au cœur de plusieurs applications OS X

Vulnérabilité importante au cœur de plusieurs applications OS X

Laurent LaSalle -
Faille de sécurité sur WhatsApp : mettez tout de suite l’appli à jour !

Faille de sécurité sur WhatsApp : mettez tout de suite l’appli à jour !

Un deuxième problème de sécurité sur iOS 7

Un deuxième problème de sécurité sur iOS 7

Laurent LaSalle -
iOS 9 vient atténuer une importante faille découverte récemment

iOS 9 vient atténuer une importante faille découverte récemment

Laurent LaSalle -
Apple travaille à corriger les vulnérabilités révélées par WikiLeaks

Apple travaille à corriger les vulnérabilités révélées par WikiLeaks

Laurent LaSalle -
Deux virus s’attaquent au Mac et à la réputation d’Apple en matière de sécurité

Deux virus s’attaquent au Mac et à la réputation d’Apple en matière de sécurité

Laurent LaSalle -
Microsoft critique Google au sujet du dévoilement d’une vulnérabilité de Windows 10

Microsoft critique Google au sujet du dévoilement d’une vulnérabilité de Windows 10

Laurent LaSalle -
Les mots de passe des utilisateurs d’OS X menacés

Les mots de passe des utilisateurs d’OS X menacés

Laurent LaSalle -
Google offre 2,718 28 millions à ceux qui pirateront Chrome OS

Google offre 2,718 28 millions à ceux qui pirateront Chrome OS

Laurent LaSalle -
Faites la mise à jour de Flash immédiatement

Faites la mise à jour de Flash immédiatement

Laurent LaSalle -
Désinstallez QuickTime sur Windows immédiatement

Désinstallez QuickTime sur Windows immédiatement

Laurent LaSalle -
Microsoft colmate la faille de sécurité de Windows 10 dévoilée par Google

Microsoft colmate la faille de sécurité de Windows 10 dévoilée par Google

Laurent LaSalle -
Adobe corrige une nouvelle vulnérabilité de son module Flash

Adobe corrige une nouvelle vulnérabilité de son module Flash

Laurent LaSalle -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .