All time Branchez-vous Branche Toi BetterBe Nerds Carrières

OS X : Google dévoile 3 vulnérabilités importantes

Par Laurent LaSalle – le dans Actualités
Les spécialistes en sécurité informatique de l'équipe Project Zero chez Google ont publié cette semaine des rapports faisant mention d'importantes failles affectant le système d'exploitation d'Apple.

Bien qu’il est essentiel pour un pirate d’avoir déjà accès au Mac ciblé avant d’exploiter chacune de ces nouvelles failles, elle lui permettra d’élever le niveau des privilèges de son accès afin de prendre le contrôle du système.

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise.

La première faille se nomme affectueusement OS X networkd « effective_audit_token » XPC type confusion sandbox escape (with exploit). Elle implique le détournement de commandes du système réseau, mais ses effets «pourraient être atténués sous OS X Yosemite» aux dires de CNET.

La seconde faille, dont le nom est tout aussi sexy (OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator), est due à des opérations de mémoire incorrecte effectuée lors du traitement de requêtes. Selon Cisco, «un attaquant peut exploiter cette vulnérabilité en exécutant un programme conçu pour envoyer des requêtes malicieuses au module du noyau ciblé».

Finalement, la troisième faille, OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice, comprend une vulnérabilité liée à la structure du noyau d’OS X.

Chacune de ces failles, comme c’est le cas avec toutes les autres qui ont été dévoilées par Project Zero précédemment, inclut une preuve de concept démontrant leur validité.

Apple était pourtant au courant depuis 3 mois

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise. La politique de Google concernant la publication de failles trouvées par ses ingénieurs 90 jours suivant leurs découvertes a donc été appliquée cette semaine.

«Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition», souligne l’entreprise dans sa politique à l’égard de la sécurité de ses produits.

Ce n’est pas la première fois que l’équipe de Project Zero dévoile des vulnérabilités importantes affectant le système d’exploitation de l’un des concurrents de Google. Au cours des derniers mois, Microsoft a été l’objet de telles divulgations concernant des failles exploitables dans Windows.

Les dernières nouvelles

Test du jeu Watch Dogs: Legion – Rébellion connectée

Test du jeu Watch Dogs: Legion – Rébellion connectée

Avant-première – Aperçu du jeu Immortals: Fenyx Rising

Avant-première – Aperçu du jeu Immortals: Fenyx Rising

Test du jeu NHL 21: nouveaux patins, vieilles lames

Test du jeu NHL 21: nouveaux patins, vieilles lames

Plus d'actualités

De l’espace aux créatures miniatures: 8 jeux à surveiller en octobre

De l’espace aux créatures miniatures: 8 jeux à surveiller en octobre

Superhéros et voyages dans le temps: 6 jeux à surveiller en septembre !

Superhéros et voyages dans le temps: 6 jeux à surveiller en septembre !

D’avions aux grenouilles mutantes: 10 jeux à surveiller en août !

D’avions aux grenouilles mutantes: 10 jeux à surveiller en août !

Populaires

5 façons de gagner de l’argent en ligne 

5 façons de gagner de l’argent en ligne 

DeepNude : vie et mort de l’appli qui déshabillait les femmes

DeepNude : vie et mort de l’appli qui déshabillait les femmes

Comment payer son accès Netflix (vraiment) moins cher

Comment payer son accès Netflix (vraiment) moins cher

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .