Fermer le menu
 

Une grosse faille de sécurité corrigée dans 10.10.3 mais pas les versions antérieures

Stéphane Moussie | | 14:01 |  56

OS X 10.10.3, sorti cette semaine, comble une grosse faille de sécurité (CVE-2015-1130) baptisée rootpipe. Ce correctif n'est en revanche pas proposé pour les versions antérieures du système (10.10.2 et précédent).

Rootpipe avait été annoncé en novembre dernier par le chercheur en sécurité Emil Kvarnhammar. À l'époque, le chercheur n'avait dévoilé publiquement aucune information technique pour éviter une exploitation. Il expliquait juste que rootpipe permettait d'avoir un accès root (tous les droits sur la machine) sans le mot de passe administrateur normalement nécessaire. Il avait convenu avec Apple, informée de la faille, qu'il en dirait plus sur sa découverte après la sortie du correctif.

À la suite de la parution de 10.10.3, Emil Kvarnhammar a donc publié sur son blog tous les détails sur rootpipe. Il s'agit grosso modo d'une API secrète qui permet à un utilisateur (administrateur ou simplement standard) d'obtenir un accès root. Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple.

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieur », écrit le chercheur en sécurité qui « [recommande] à tous les utilisateurs d'OS X de passer sur 10.10.3. »

Emil Kvarnhammar va présenter rootpipe lors de la Security Conference 2015, le 28 mai à Stockholm.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


56 Commentaires Signaler un abus dans les commentaires

avatar Philactere 10/04/2015 - 14:14 via iGeneration pour iOS

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieurs »
Respect du client, suivi technique et sécuritaire des produits, tels sont les principes d'Apple. Quel professionnalisme.

avatar marc_os 10/04/2015 - 14:30

@ Philactere : C'est quoi ton métier ?

avatar Philactere 10/04/2015 - 14:33 via iGeneration pour iOS

@marc_os :
Pourquoi cette question ?



avatar C1rc3@0rc 10/04/2015 - 20:22

@Philactere

+1

Soit la faille est difficilement exploitable et necessite un acces physique et la on peut se permettre de ne corriger que les nouvelles versions du soft.

Soit la faille presente un vrai danger, et la il faut corriger les versions utilisées meme si elle le sont peu.
Si la faille en question presente une gravite meme moderee, le fait qu'Apple ne la corrige pas sur les systemes au moins justqu'a 10.6 (ceux concernés) il 'sagit d'un vrai mepris du client et de l'irresponsabilite de la societe. Inadmissible.

Le fait est que si la faille demande des changement profond dans l'OS cela implique une chose: c'est une faille liee a la conception du soft et pas simplement une erreur de programmation. C'est tres grave.

Rajoutons en plus que OS X 10.3.0 ne peut toujours pas etre consideré comme une version stable. En fait c'est toujours une version beta dans les faits qui contient toujours beaucoup trop de bug et qui reste trop lente.
On ne peut recommander a personne en situation de production de passer a 10.3. Et a la vitesse ou ca va on aura quelque chose qui commencera a etre utilisable avec la 10.6...

avatar Domsware 11/04/2015 - 01:34 via iGeneration pour iOS

@C1rc3@0rc :
« Rajoutons en plus que OS X 10.3.0 ne peut toujours pas etre consideré comme une version stable. En fait c'est toujours une version beta dans les faits qui contient toujours beaucoup trop de bug et qui reste trop lente. On ne peut recommander a personne en situation de production de passer a 10.3 »

Cela n'est que ton avis et/ou ton expérience. Chez moi cela fonctionne bien hormis 1 bug minims et ce depuis le tout début : iTunes qui des fois refuse de se fermer. Et encore avec la dernière version ce bug a disparu.
Pas de lenteur constatée non plus. Le seul bémol concerne des blocages avec certains sites sous Safari, un Safari augmenté de quelques plugins. Tellement rares que je n'ai pas poussé plus loin les investigations et passe alors sous Firefox ou bien l'iPad.

Avec en plus une machine à usage professionnel et en production.

avatar Aurélien-A 11/04/2015 - 17:05 (edité)

Je doute que Mac OS X 10.3.0 (Panther) tourne sur les machines actuelles :)

avatar comass 10/04/2015 - 14:14 via iGeneration pour iOS

ça va y'a pas de quoi casser 3 pâtes à un canard

avatar jipeca 10/04/2015 - 20:20 (edité)

T'es ravi au lit ?

avatar bnonyme 10/04/2015 - 14:18

"Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple."
Oh ba cela va alors, personne n'accède physiquement à ma machine, mon disque est chiffré avec un mot de passe différent et je ne clique jamais sur les liens d'un mail ni ne télécharge n'importe quoi. La probabilité pour que je sois infecté est donc minime.
Mais c'est bien joué pour inciter les gens à migrer vers Yosemite et gonfler le torse après en se vantant de l'adoption "massive" de Yosemite :-)

avatar pepeye66 10/04/2015 - 14:29

De plus en plus remonté contre Apple et ses méthodes... Voyons quand je vais dire STOP !

avatar majipoor 10/04/2015 - 14:51

On en voit plein de types comme toi qui menacent de dire STOP depuis des années pour des raisons diverses et variées (ou alors simplement histoire de râler). Et ils sont toujours là à menacer, années après années. Faut croire que "Apple et ses méthodes" n'est pas un argument très convaincant.

avatar Nicolas-33 10/04/2015 - 14:31

Mauvaise nouvelle et belle tentative !

Mais je refuse toujours de passer sur OS 10.10, quitte à avoir le dock "flat" je préférerai retourner sur Tiger. :)

avatar Joëh 10/04/2015 - 14:35 via iGeneration pour iOS

Si seulement la 10.10.3 ne provoquait pas un Kernel Panic, je l'installerais, mais ce n'est pas le cas ;-)

avatar Moonwalker 10/04/2015 - 15:11

"10.10.2 et précédents" ???

10.10.3 est la mise à jour de sécurité des versions antérieures de Yosemite (10.10.0, 10.10.1 et 10.10.2) qui n'ont plus lieu d'être.

"Mavericks et Mountain Lion", ça suffisait pour une bonne compréhension de la situation. Ou comme l'indique le développeur :
"OS X 10.9.x and older remain vulnerable, since Apple decided not to patch these versions."

avatar Average Joe 11/04/2015 - 17:43 (edité)

En fait, si : il y a eu une mise à jour de sécurité pour Mavericks cette semaine (mise en place sur mon Mac Mini hier et sur l'iMac aujourd'hui).

avatar Moonwalker 11/04/2015 - 18:49 (edité)

Oui, mais elle ne corrige pas cette faille.

avatar Ginger bread 10/04/2015 - 15:23 via iGeneration pour iOS

Et on se permet critiquer Microsoft lol
Apple continue de deployer des updates safari et laisse volontairement des failles derriere elles.

Quelle bavure

avatar nonoFB 11/04/2015 - 13:57 (edité)

Juste ! Voila 2 ans environs que je suis passé du monde windows à OS ce que je ne regrette absolument pas, mais pour "défendre" windows, eux les bugs de sécurités ils corrigaient assez rapidement même sur XP après presque 10 ans de vie. Alors je suis très surpris d'apprendre que même pas après 2 ans de OS (Mavericks dans mon cas) Apple n'ont pas l'intention de corriger ce bug assez grave d'après la presse. Ce qui à mon avis OS 10.9.5 est encore très répandu. Alors le sérieux de mac doit-il être remis en question ?? Je pose la question ?

avatar Average Joe 11/04/2015 - 17:44 (edité)

Voir mon commentaire au dessus.

avatar jipeca 12/04/2015 - 00:14 (edité)

Tu commences a comprendre...

avatar poco 10/04/2015 - 16:06 (edité)

On ne peut plus dire dorénavant qu'OS X est l'OS le plus sécurisé. Apple laisse derrière lui tout ceux qui ont une machine de plus de 2 ans et qui refusent d'installer la dernière des dernières versions de son OS (machine trop ralentie grace à l'obsolesance programmée ou utilisateur transformé en Béta-testeur d'Apple avec ses bugs non corrigés).

avatar pickwick 10/04/2015 - 16:10

les énervés du bulbe sont toujours là..... restez zen ! et si la machine est ralentie, passez au SSD ou bien d'abord passez un coup d'AdwareMedic, les malwares font beaucoup plus de dégâts que les quelques bugs de Yosemite..

avatar patrick86 10/04/2015 - 16:30

Dans la mesure où tous les Mac supportés par Mavericks le sont aussi par Yosemite, Apple considère que mettre à jour ce dernier est suffisant. C'est pas plus compliqué.

avatar mimot13 11/04/2015 - 07:38 (edité)

Le problème est que tout le monde ne tournait pas encore sous 10.9..!! Et ce pour diverses raisons, tout à fait respectables ou simplement incontournables. Donc la question ici reste ouverte.

avatar jipeca 12/04/2015 - 00:26

En résumé, c'est comme si Airbus sortait un systeme de gestion de pilotage à l'ergonomie différente.
Et alors que tous les utilisateurs ne s'y convertissent pas, parce que simplement pas convaincus par ma nouvelle "ergonomie", Airbus décide de ne corriger une faille que sur le nouvel opus, partant du principe que tous les avions supportés par l'ancien systeme de gestion le sont par le nouveau....

C'est pas plus compliqué quoi !

Pages