OS X : Google dévoile 3 vulnérabilités importantes

Par Laurent LaSalle – le dans Actualités
Les spécialistes en sécurité informatique de l'équipe Project Zero chez Google ont publié cette semaine des rapports faisant mention d'importantes failles affectant le système d'exploitation d'Apple.

Bien qu’il est essentiel pour un pirate d’avoir déjà accès au Mac ciblé avant d’exploiter chacune de ces nouvelles failles, elle lui permettra d’élever le niveau des privilèges de son accès afin de prendre le contrôle du système.

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise.

La première faille se nomme affectueusement OS X networkd « effective_audit_token » XPC type confusion sandbox escape (with exploit). Elle implique le détournement de commandes du système réseau, mais ses effets «pourraient être atténués sous OS X Yosemite» aux dires de CNET.

La seconde faille, dont le nom est tout aussi sexy (OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator), est due à des opérations de mémoire incorrecte effectuée lors du traitement de requêtes. Selon Cisco, «un attaquant peut exploiter cette vulnérabilité en exécutant un programme conçu pour envoyer des requêtes malicieuses au module du noyau ciblé».

Finalement, la troisième faille, OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice, comprend une vulnérabilité liée à la structure du noyau d’OS X.

Chacune de ces failles, comme c’est le cas avec toutes les autres qui ont été dévoilées par Project Zero précédemment, inclut une preuve de concept démontrant leur validité.

Apple était pourtant au courant depuis 3 mois

Ces vulnérabilités ont été signalées à Apple en octobre dernier, mais aucune mise à jour corrigeant la situation n’a été mise en ligne par l’entreprise. La politique de Google concernant la publication de failles trouvées par ses ingénieurs 90 jours suivant leurs découvertes a donc été appliquée cette semaine.

«Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition», souligne l’entreprise dans sa politique à l’égard de la sécurité de ses produits.

Ce n’est pas la première fois que l’équipe de Project Zero dévoile des vulnérabilités importantes affectant le système d’exploitation de l’un des concurrents de Google. Au cours des derniers mois, Microsoft a été l’objet de telles divulgations concernant des failles exploitables dans Windows.

Les dernières nouvelles

Une faille Bluetooth affecte des millions de serrures … y compris celles des Tesla

Une faille Bluetooth affecte des millions de serrures … y compris celles des Tesla

Un nouveau format musical entre le vinyle et le CD voit le jour

Un nouveau format musical entre le vinyle et le CD voit le jour

Bientôt sur Netflix : la télé en direct?

Bientôt sur Netflix : la télé en direct?

Plus d'actualités

Échec pour Grand Theft Auto Trilogy: The Definitive Edition, encore beaucoup de succès pour Grand Theft Auto V

Échec pour Grand Theft Auto Trilogy: The Definitive Edition, encore beaucoup de succès pour Grand Theft Auto V

Ubisoft+ s’en vient sur les consoles PlayStation !

Ubisoft+ s’en vient sur les consoles PlayStation !

Autoexec Games remporte le gros lot dans la 6e édition des Ubisoft Indie !

Autoexec Games remporte le gros lot dans la 6e édition des Ubisoft Indie !

Populaires

Avec Google Drive, regardez gratuitement des films en streaming

Avec Google Drive, regardez gratuitement des films en streaming

Brazzers : Près de 800 000 mots de passe compromis

Brazzers : Près de 800 000 mots de passe compromis

Comment devenir plus intelligent en deux minutes sans même vous forcer

Comment devenir plus intelligent en deux minutes sans même vous forcer

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .