D’importantes failles de sécurité ont été découvertes dans un protocole issu du monde libre. Leur inclusion dans OS X notamment rend les versions actuellement supportées vulnérables, nécessitant pour Apple le déploiement d’une mise à jour dans la foulée. Il s’agit d’ailleurs, pour la première fois, d’un correctif à installation automatique.
Les détails des failles ont été rendus publics vendredi dernier. Elles ont été découvertes par deux chercheurs en sécurité de chez Google, Neel Mehta et Stephen Roettger, au sein du Network Time Protocol (NTP). Exploitées, elles pourraient permettre l’exécution d’un code arbitraire à distance. Le CERT (Cyber Emergency Response Team), et plus particulièrement sa branche ICS (Industrial Control Systems) a émis un bulletin d’alerte, car on retrouve le fameux protocole dans un grand nombre de systèmes industriels automatisés.
Mais il est également présent dans tous les OS X, et la dangerosité des vulnérabilités a provoqué une réponse rapide d’Apple. Une importante mise à jour de sécurité est donc disponible dans le Mac App Store pour les trois systèmes actuellement supportés par la firme, à savoir Yosemite, Mavericks et Mountain Lion. Le correctif ne pèse qu’environ 2 Mo et ne demandera pas de redémarrage sur les systèmes récents.
Sachez cependant que cette mise à jour est la première configurée par Apple pour s’installer automatiquement à partir d’un certain temps. Elle reste stockée dans l’App Store pendant une période (non déterminée) puis est installée si l’utilisateur tarde trop ou ne la voit tout simplement pas. Il suffit que l’icône de l’App Store ne soit pas dans le Dock pour rater une mise à jour, et Apple estime que le danger est suffisamment important pour forcer un peu la main.
Le correctif est disponible dans l’App Store, mais ceux qui le souhaitent pourront récupérer les fichiers d’installation depuis les liens ci-dessous :
