du 05 septembre 2018
Date

Choisir une autre édition

macOS : une faille permet d'ouvrir automatiquement un malware depuis Safari

Le chercheur Patrick Wardle a trouvé une faille de sécurité résidant dans la manière dont macOS permet aux applications de déclarer leur prise en charge de certains formats de fichiers.

Il faut des URL personnalisées, qui peuvent malheureusement être détournées de leur but premier. La victime doit visiter un site où un fichier Zip sera automatiquement téléchargé et ouvert, Safari le faisant pour les types de fichiers qu’il juge « sûrs ». Une option qui devrait être systématiquement désactivée.

Dans le fichier Zip, un malware. Mais puisque le système détecte qu’un format connu est arrivé sur le stockage, il déclenche l’URL Handler défini par l'adresse. Safari pose donc la question à l’utilisateur : souhaite-t-il autoriser l’ouverture du fichier ?

Seulement voilà, la faille permet au pirate de contrôler le nom de l’application dans le texte de la fenêtre de confirmation. Ce texte peut être placé dans l’URL personnalisée définie normalement par le développeur. En outre, l’URL permet de renvoyer vers le malware plutôt que l’application censée ouvrir le fichier.

Le chercheur ajoute que GateKeeper s’occupe normalement de gérer ce genre de cas, mais il n’agit essentiellement que sur un seul critère : la présence d’un certificat. Or, selon lui, la grande majorité des malwares pour macOS ont un certificat valide, annulant l’intérêt de cette protection.

Le problème est sérieux, la faille étant simple à exploiter selon Wardle. Elle également tout aussi simple à bloquer : il suffit de désactiver l’ouverture automatique des fichiers dans Safari, ou utiliser un autre navigateur. Si ce n’est pas bloquant, Wardle conseille même de paramétrer GateKeeper pour ne le laisse exécuter que les applications provenant du Mac App Store.

Apple a bien sûr été avertie du problème.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Depuis plusieurs années, la société met en avant son attachement au solaire et à l'éolien : « En 2017, nous sommes devenus la première entreprise de notre taille à compenser notre consommation annuelle d'électricité avec des énergies renouvelables (et nous l'avons refait en 2018) ».

Sundar Pichai annonce aujourd'hui la signature de 18 nouveaux contrats (aux États-Unis, au Chili et en Europe) pour un total de 1 600 MW supplémentaires, dont une bonne partie en solaire. « Ensemble, ces accords augmenteront de plus de 40 % notre portefeuille mondial d'accords sur l'éolien et le solaire, pour atteindre 5 500 MW ».

Copié dans le presse-papier !

La nouvelle interface était en test depuis quelques semaines, elle est maintenant disponible pour l’ensemble des utilisateurs via une mise à jour. Modernisé, l’ensemble est plus simple, mais fournit dans la foulée de nouvelles capacités, dont certaines réclamées depuis longtemps.

La bibliothèque peut être ainsi organisée par album, genre, artiste ou musique. Les fonctions de tri sont également présentes et les dossiers peuvent être directement utilisés comme listes de lecture. Là aussi une fonctionnalité demandée.

iOS 13 oblige, le nouveau VLC est en outre disponible en thèmes clair et sombre.

Jean-Baptiste Kempf, dans un billet de blog, ajoute que de nombreuses améliorations techniques ont eu lieu dans cette version. Des bugs ont été corrigés, des changements effectués pour simplifier les développements futurs et le code lui-même a commencé sa migration d’Objective-C à Swift.

Copié dans le presse-papier !

Presque un an jour pour jour après avoir levé 100 millions de dollars, la jeune pousse triple presque la mise avec 268 millions de dollars. D'anciens investisseurs, comme Y Combinator Continuity, ont remis la main au portefeuille, aux côtés de plus d'une dizaine de nouveaux.

Au total, GitLab a levé 426 millions de dollars depuis ses débuts et revendique une valorisation de 2,75 milliards de dollars. La société a d'ores et déjà prévu une date pour son introduction en bourse : le 18 novembre 2020. 

Pour rappel, son plus gros concurrent, GitHub, a été racheté par Microsoft en juin 2018 pour 7,5 milliards de dollars. Le patron de la société, Sid Sijbrandij, continue de surfer sur ce rachat en expliquant à Bloomberg qu'il « préfère rester indépendant »… un moyen de s'attirer la sympathie de ceux craignant que Microsoft ne change la donne sur GitHub. 

Copié dans le presse-papier !

Comme prévu, les nouvelles versions majeures d’iOS et watchOS ont été mises à disposition des utilisateurs hier soir à 19h. Sur les iPhone, les nouveautés sont particulièrement nombreuses. Nous publierons dans la journée un dossier qui leur est consacré.

L’installation se fait comme d’habitude : depuis Réglages. Les modèles pris en charge sont les iPhone 6s (Plus), 7 (Plus), 8 (Plus), X, XR, XS (Max) et iPod Touch de 7e génération. Les iPhone 11 et 11 Pro, disponibles aujourd’hui, sont bien sûr livrés avec le nouveau système.

L’Apple Watch a de son côté toujours besoin de l’application compagnon sur l’iPhone. watchOS 6 prend en charge tous les modèles de la montre connectée à l’exception de la « Series 0 » (le tout premier modèle). Attention cependant, les Series 3 et 4 sont servies immédiatement, mais les 1 et 2 devront attendre « plus tard cet automne ».

Petite surprise également sur les mises à jour initialement prévues pour le 30 septembre : iOS 13.1 et iPadOS sortiront finalement le 24 septembre, soit mardi prochain. La date apparaît désormais sur le site officiel. Rien n’est dit pour tvOS 13, qui garde pour l’instant son 30 septembre présumé.

Les utilisateurs d’iPhone auront donc deux mises à jour importantes à cinq jours d’intervalle, ce qui ne devrait pas manquer de faire hausser quelques sourcils.

Quant à macOS Catalina, il est toujours prévu pour octobre, sans plus de précisions. 

Copié dans le presse-papier !

C'est en tout cas le message qu'a fait passer Kenneth Bowersox, administrateur par intérim de la NASA en charge de l'exploration et des opérations humaines, comme le rapporte Associated Press.

Lors d'un passage devant un sous-comité du Congrès, il affirme que la NASA fait de son mieux pour tenir le calendrier annoncé par la Maison Blanche, mais qu'il « ne parierait pas le cadeau d’anniversaire de son fils aîné, ou quelque chose comme ça ».

« Ce qui est important, c'est de démarrer quand nous sommes prêts et que notre mission soit un succès.  Je ne vais pas m'asseoir ici pour vous dire arbitrairement que nous allons y arriver », ajoute-t-il.