All time Branchez-vous Branche Toi BetterBe Nerds Carrières

OS X : Google dévoile 3 vulnérabilités importantes

Par Laurent LaSalle – le dans Actualités
Les spécialistes en sécurité informatique de l'équipe Project Zero chez Google ont publié cette semaine des rapports faisant mention d'importantes failles affectant le système d'exploitation d'Apple.

Bien qu’il est essentiel pour un pirate d’avoir déjà accès au Mac ciblé avant d’exploiter chacune de ces nouvelles failles, elle lui permettra d’élever le niveau des privilèges de son accès afin de prendre le contrôle du système.

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise.

La première faille se nomme affectueusement OS X networkd « effective_audit_token » XPC type confusion sandbox escape (with exploit). Elle implique le détournement de commandes du système réseau, mais ses effets «pourraient être atténués sous OS X Yosemite» aux dires de CNET.

La seconde faille, dont le nom est tout aussi sexy (OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator), est due à des opérations de mémoire incorrecte effectuée lors du traitement de requêtes. Selon Cisco, «un attaquant peut exploiter cette vulnérabilité en exécutant un programme conçu pour envoyer des requêtes malicieuses au module du noyau ciblé».

Finalement, la troisième faille, OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice, comprend une vulnérabilité liée à la structure du noyau d’OS X.

Chacune de ces failles, comme c’est le cas avec toutes les autres qui ont été dévoilées par Project Zero précédemment, inclut une preuve de concept démontrant leur validité.

Apple était pourtant au courant depuis 3 mois

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise. La politique de Google concernant la publication de failles trouvées par ses ingénieurs 90 jours suivant leurs découvertes a donc été appliquée cette semaine.

«Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition», souligne l’entreprise dans sa politique à l’égard de la sécurité de ses produits.

Ce n’est pas la première fois que l’équipe de Project Zero dévoile des vulnérabilités importantes affectant le système d’exploitation de l’un des concurrents de Google. Au cours des derniers mois, Microsoft a été l’objet de telles divulgations concernant des failles exploitables dans Windows.

Vidéo récente
- Actualités

Voici les jeux vidéo de la rentrée 2019 !

Les dernières nouvelles

Google Maps : de nouveaux types d’incidents pourront être signalés

Google Maps : de nouveaux types d’incidents pourront être signalés

Pixel 4 : les nouveautés du nouveau smartphone de Google

Pixel 4 : les nouveautés du nouveau smartphone de Google

Test du jeu Ghost Recon: Breakpoint : le bon vieux modèle d’Ubisoft !

Test du jeu Ghost Recon: Breakpoint : le bon vieux modèle d’Ubisoft !

Plus d'actualités

Google Stadia : date de lancement et nouveaux détails 

Google Stadia : date de lancement et nouveaux détails 

Instagram se met au « Dark Mode »

Instagram se met au « Dark Mode »

Instagram Threads : nouvelle application pour communiquer avec vos proches

Instagram Threads : nouvelle application pour communiquer avec vos proches

Populaires

Facebook se met au «dark mode» sur Android

Facebook se met au «dark mode» sur Android

Comment payer son accès Netflix (vraiment) moins cher

Comment payer son accès Netflix (vraiment) moins cher

YggTorrent : une nouvelle adresse pour le site pirate

YggTorrent : une nouvelle adresse pour le site pirate

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .