Une grosse faille de sécurité corrigée dans 10.10.3 mais pas les versions antérieures

Stéphane Moussie |

OS X 10.10.3, sorti cette semaine, comble une grosse faille de sécurité (CVE-2015-1130) baptisée rootpipe. Ce correctif n'est en revanche pas proposé pour les versions antérieures du système (10.10.2 et précédent).

Rootpipe avait été annoncé en novembre dernier par le chercheur en sécurité Emil Kvarnhammar. À l'époque, le chercheur n'avait dévoilé publiquement aucune information technique pour éviter une exploitation. Il expliquait juste que rootpipe permettait d'avoir un accès root (tous les droits sur la machine) sans le mot de passe administrateur normalement nécessaire. Il avait convenu avec Apple, informée de la faille, qu'il en dirait plus sur sa découverte après la sortie du correctif.

À la suite de la parution de 10.10.3, Emil Kvarnhammar a donc publié sur son blog tous les détails sur rootpipe. Il s'agit grosso modo d'une API secrète qui permet à un utilisateur (administrateur ou simplement standard) d'obtenir un accès root. Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple.

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieur », écrit le chercheur en sécurité qui « [recommande] à tous les utilisateurs d'OS X de passer sur 10.10.3. »

Emil Kvarnhammar va présenter rootpipe lors de la Security Conference 2015, le 28 mai à Stockholm.

avatar Philactere | 

@Moonwalker :
"Officiellement" puisque Apple fournit encore des correctifs (Security Update et Safari) pour Mountain Lion et Mavericks."

Bin non, ils annoncent justement ne pas fournir de correctif sur cette faille autre que pour Yosemite. C'est l'objet de la news.
Il n'y a donc plus de support de sécurité pour Mavericks et ML sur une faille connue et documentée. Prétendre supporter ces systèmes tout en ne les supportant pas est, comment dire ? Mensonger ?

avatar dragao13 | 

Commentaire lucide et objectif sans faire de chasse aux sorcières.

Je suis grandement surpris de cette annonce d'Apple.

Ne serait-ce qu'au niveau communication, c'est un drôle de signe envoyé !

avatar tomcdj71 | 

Faille de sécurité je ne sais pas mais en tout cas gros problème de WiFi chez moi alors que je n'en avais pas sur les versions de Yosemite antérieures. Il s'active 5 min au boot puis plus rien sur MacBook Pro Mid2012 et Mac Mini 2014...

Solution (via forum Apple) : reset SMC + reset PRAM

https://discussions.apple.com/thread/6984802

avatar Moonwalker | 

On s'en carre de ton Wi-Fi. Ce n'est pas le sujet ici.

avatar poco | 

Depuis 2000, je n'ai jamais vu autant d'utilisateurs Mac commencer à prendre position "contre" Apple et ses pratiques. Cà n'influence pour l'instant pas les ventes ni les résultats mais çà sent la fin d'un cycle comme Microsoft l'a vécu il y a quelques années.

avatar buluhab | 

Apparemment, il ne serait pas si dur de corriger cette faille selon cette page:
https://reverse.put.as/2015/04/13/how-to-fix-rootpipe-in-mavericks-and-call-apples-bullshit-bluff-about-rootpipe-fixes/

Autrement, Apple nous prend pour des jambons: passez à Yosemite, vous serez heureux ensuite de nous acheter une nouvelle machine !

Pages

CONNEXION UTILISATEUR