Fermer le menu
 

OS X est aussi concerné par la faille SSL bouchée dans iOS

Florian Innocente | | 10:00 |  13

La faille de sécurité bouchée hier par Apple dans iOS est également présente dans OS X 10.9.0 et 10.9.1, ont observé des chercheurs interrogés par Reuters. Ils ont pour cela analysé le patch et remarqué qu'OS X présentait la même vulnérabilité.

Apple a distribué trois mises à jour hier pour iOS 6, 7 et le firmware des Apple TV. Il s'agissait de combler une faille importante dans la manière dont est vérifiée l'authenticité d'une connexion SSL. Jusque-là, le contenu d'une connexion supposément sécurisée à un site ou un service, via un réseau Wi-Fi par exemple, pouvait être en réalité observée par un tiers. Des étapes nécessaires à la validation pleine et entière de la sécurité de cette connexion n'étaient pas réalisées.

Une mise à jour est attendue pour OS X, probablement au travers de la version 10.9.2 actuellement en bêta, à moins qu'un patch séparé soit distribué pour tenir compte aussi des plus anciennes versions du système. Quoi qu'il en soit, c'est probablement l’une des plus grosses failles dans l’histoire d’Apple. Ce n’est pas pour rien qu’une fois n’est pas coutume, Apple a daigné proposer un patch pour la précédente version d’iOS. Alors ne tardez pas à faire la mise à jour !

Source : Ars Technica

Catégories: 
Tags : 

Les derniers dossiers

Ailleurs sur le Web


13 Commentaires Signaler un abus dans les commentaires

avatar Pyxelz 22/02/2014 - 10:49 via iGeneration pour iOS

10.9.2 is coming ;)

avatar Anonyme (non vérifié) 22/02/2014 - 11:00 (edité)

J'espère bien, vu la dangerosité de la faille...

Edit: Ya moyen de corriger la faille manuellement avant la sortie de la mise à jour ?

avatar Xalio 22/02/2014 - 11:59 via iGeneration pour iOS

@iPotable :
Je ne pense pas...



avatar Nesus 22/02/2014 - 11:52 via iGeneration pour iOS

Apple a quand même été assez baleze dans l'histoire. Parce que personne ne la vue.

avatar Stardustxxx 22/02/2014 - 12:10 (edité)

Ou ceux qui l'on trouvé l'on garder pour eux ou l'on revendu...
Regarde la société francaise Vupen par exemple.

Quand tu entens parler d'une faille dans la presse, dans la plupart des cas elle est connu des specialistes depuis un moment. Et dans la plupart des cas, on l'apprend après qu'un fix soit sorti.

avatar Oliviou 22/02/2014 - 15:39 via iGeneration pour iOS

Et comment on fait quand on a un iPhone 4 et qu'on ne veut pas passer à iOS 7 pour cause de ralentissements horribles? Quelqu'un a la solution ? (Puisqu'une mise à jour sur iPhone 4 signifie obligatoirement passer à iOS 7).

avatar Strix 22/02/2014 - 16:57 via iGeneration pour iOS

@Oliviou :
Il y a eu une maj proposée pour ios 6 si j'ai bien lu l'article d'hier.

Et sinon tu feras avec :)

avatar Yoskiz 22/02/2014 - 15:47 via iGeneration pour iOS

Mise à jour faite sur tout mes iBidules. Au moins Apple ne tarde pas et c'est tant mieux pour la sécurité.

avatar pacou 22/02/2014 - 19:53 via iGeneration pour iPad

@Yoskiz

Ce qui est cool c'est que depuis la mise à jour, safari plante tout le temps, sur iOS

avatar Anonyme (non vérifié) 22/02/2014 - 23:33 via iGeneration pour iOS

@pacou :
Moi c'est l'app de MacG qui plante ^^

avatar Maathuvu 22/02/2014 - 19:57 via iGeneration pour iOS

Question bête mais je suis sur iOS 7.1 bêta et bien sur je n'ai pas accès à cette MAJ... Je suis donc vulnérable ? Qu'est qui est "touché" par cette faille ?

avatar pa2gatox 23/02/2014 - 00:22 via iGeneration pour iOS

@Maathuvu :
Si tu utilises une bêta sur tes ibidules, c'est que tu développes ! Alors tu dois pouvoir t'en sortir avec le lien vers le patch. ;-)

avatar SteveC72 23/02/2014 - 16:47 (edité)

Ce genre de faille est des plus complexe à exploiter, mais du coup si elle réussit , c'est extrêmement dangereux ..

Dans sa complexité il ne faut pas oublié que le pirate doit se munir d'un système miroir a Apple et parvenir à détourné adéquatement l'utilisateur ... Et non autrement ... Intercepté une donnée entre Apple et un client est plus complexe que cela ... question d'échange de clef publique et de la clef privée elle qui ne voyage pas en plus Md5/sha1 et + pour identifier l'intégrité des paquets envoyés ... si le pirate touche une seule donnée d'entre elles la transaction échoue ......

Par contre si le pirate se propose comme intermédiaire entre le client et le service Apple ça devient pratiquement impossible de se protéger contre la chose, car les clefs correspondront et l'intégrité des sources sera assurée , le site de Apple ne fera que redemander au client son mot de passe pour l’authentification pour que les clefs s’échangent a nouveau et que les processus d’intégrité se réajustent au profit du serveur pirate intermédiaire ...... Mais pour réussir cela , ça prend un matériel d'enfer et une préparation importante qui ne peut se faire à l'improvisation ...... Parvenir a se cadrer dans un réseau sous l’oeil des processus de sécurité sans se faire pincé et profité d’un client OSX ... bravo ..

Les pirates susceptibles d'utiliser ce genre de faille ne peuvent être que des membres du crime organiser ou bien des organisations de renseignement . Ce n’est pas le petit Regis du coin avec son HP pavillon sous XP qui y parviendra . . En projet scolaire , il fut justement de monter un serveur intermédiaire sous Debian pour observer les processus de sécurité d’échange des données ( client Ubuntu/ Srv Debian) et connaissant à peine les processus d’échange de Apple et exploité cette faille est tout un défi .