Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Une faille non corrigée de macOS attire les concepteurs de malwares

Le 22 février, le chercheur Filippo Cavallarin signalait une importante faille de sécurité à Apple. Elle permettait le contournement de GateKeeper et donc à une application téléchargée de déclencher des actions sans les vérifications de sécurité propres au mécanisme du système.

Passé le délai standard de 90 jours pour laisser à l’éditeur pour corriger le tir, le chercheur s’est rendu à l’évidence à la fin du mois dernier : Apple n’a rien fait. Il a donc publié les détails de la brèche ainsi qu’un prototype d’exploitation.

Or, voilà qu’Intego rapporte désormais que quatre fichiers DMG (des images disque servant régulièrement à l’installation de logiciels sous macOS) ont été envoyés à VirusTotal, avec la particularité d’exploiter la brèche.

Toutes ne font que créer un fichier texte, ce qui indiquerait une phase de test. L’une d’elles utilisait cependant une signature Apple ID déjà repérée sur des centaines de faux installeurs Flash Player sur les trois derniers mois pour véhiculer l’adware OSX/Surfbuyer.

Intego a averti Apple de l’exploitation de la faille, entre temps baptisée OSX/Linker. Au moment où Intego publiait son billet de blog sur ses découvertes, Apple était en train de révoquer le certificat, ce qui devrait être fait désormais.

Reste le problème de fond, car Apple n’a rien dit sur la correction de la faille elle-même.

6 commentaires
Avatar de TriEdge INpactien
Avatar de TriEdgeTriEdge- 26/06/19 à 08:40:51

C'est pas une faille mais une feature sinon ça colle pas super bien avec le discours de tim qui balance ce sont les concurrents d'apple (facebook et google en première ligne) qui laissent trainés des failles de sécurité.

Donc soit timmy est un mythomane, soit... :D

Avatar de Jypyx INpactien
Avatar de JypyxJypyx- 26/06/19 à 08:50:21

En même temps Apple n'a jamais été réputée pour être réactif sur le colmatage de faille.

Avatar de monpci INpactien
Avatar de monpcimonpci- 26/06/19 à 11:32:22

Rappelez-moi c'est quoi le dernier slogan d'Apple
Votre vie privée notre priorité quelque chose comme ça....

Avatar de Macarie Abonné
Avatar de MacarieMacarie- 26/06/19 à 11:56:05

je dirais maintenant "votre sécurité, vous vous démerdé" ? sérieux apple ...

Avatar de piwi82 INpactien
Avatar de piwi82piwi82- 26/06/19 à 12:30:41

Effectivement, Apple ne s'est jamais précipité pour corriger les failles de sécurité de ses OS. Que ce soit macOS ou iOS, il s'écoule souvent plusieurs mois avant de voir des failles critiques être corrigées.
Même Microsoft fait beaucoup mieux sur les délais de déploiement des correctifs (c'est dire !).

Mais il faut garder à l'esprit que la principale faille de sécurité se situera toujours entre le clavier et la chaise (je l'ai encore prouvé hier :transpi:).

Avatar de TheKillerOfComputer Abonné
Avatar de TheKillerOfComputerTheKillerOfComputer- 26/06/19 à 18:41:44

Apple n'a jamais été réputé pour corriger rapidement...

...jusqu'à se demander si leurs cadres internes sont de la (très) vieille école (du propriétaire), qui est donc que tant qu'on ne parle pas des failles, c'est un produit sûr.

La sécurité par le secret.

Il n'est plus possible de commenter cette actualité.