mDNSResponder : une jolie faille découverte et un job chez Apple à la clef

Florian Innocente |

En janvier, le site québécois TVA Nouvelles racontait qu’un tout jeune étudiant du pays, Alexandre Hélie, avait été recruté par Apple après avoir découvert, quelques mois plus tôt, des failles de sécurité apparement importantes.

A l’époque, il n’y avait pas de détails sur la nature de ces failles, de manière à ne pas susciter l’intérêt de quelques vauriens informatiques. Dans les coulisses, Apple a procédé à des corrections et distribué des mises à jour pour différentes versions d’OS X mais aussi pour iOS, watchOS ainsi que les firmwares de ses bornes AirPort (lire aussi AirPort et Time Capsule s’entendent mieux avec SFR).

Le nom d’Alexandre Hélie apparaît à chaque fois en regard d’une ou deux failles liées à mDNSResponder. L’une pouvait autoriser l’exécution d’un code malveillant à distance et la suivante créer un déni de service.

mDNSResponder permet à des équipements en réseau local de se découvrir mutuellement et automatiquement, il est utilisé au travers de Bonjour.

Apple a publié en début de semaine une fiche récapitulative où sont précisés les versions système et les firmwares qui ne sont plus touchés par ce bug. Bonjour étant open source, il est aussi présent dans de nombreux produits de tierces parties, il a donc fallu qu’Apple en fasse le tour pour les prévenir et leur laisser le temps d’apporter un correctif.

Si vous n’avez pas encore appliqué la dernière révision en date pour votre borne AirPort, ouvrez Utilitaire AirPort et vous serez guidé.


avatar Toinewh | 

Pas de détails concernant la faille elle-même ? Même pas une 'tite photo ? Rohh mais vous avez dit qu'elle était jolie !…

avatar bonnepoire | 

C'est un site grand public. On ne publie pas de telles photos et certainement pas à cette heure.

avatar Hydrog3n | 

J'aime beaucoup le mec avec le big écran et un vieux ls lancé dessus ! Si non l'article qui ne sert pas à grand chose..,

avatar r e m y | 

le commentaire qui ne sert pas à grand chose....

L'article signale plusieurs éléments:
D'une part qu'une faille critique a été trouvée dans mDNS responder qu'Apple utilise largement.
D'autre part qu'il a fallu plusieurs mois pour qu"Apple la corrige
Et enfin qu'il est important d'appliquer les mises à jour de sécurité et du firmware des bornes Airport

Et moi je dis que ce type d'article est IMPORTANT car Apple comme à son habitude, se garde bien de donner des détails et d'alerter ses clients sur la nécessité de faire ces mises à jour

Est-ce qu'il va falloir comme dans les livres de classe d'école primaire, que les articles soient accompagnés d'un petit encadré donnant les "éléments à retenir"?

Et peut-être aussi une traduction en émojis pour ceux qui ont du mal à déchiffrer ces vieux graphismes composés de lettres que les Anciens nommaient "mots"?

avatar XiliX | 

@Hydrog3n :
Ha bon depuis quand alerter des gens des failles est inutile. C'est plutôt ton commentaire qui ne sert à rien !

avatar sebhug | 

Ça ressemble plus à top qu'à ls

avatar brunitou | 

Respect quand même !

avatar nicopulse | 

"vauriens informatiques" ?

Des mots dignes de vauriens journalistiques ? A corriger.

avatar Terragon | 

@nicopulse :
Mais qu'est-ce que vous avez tous à chigner constamment sur les mots... Sur la qualité journalistique... Et j'en passe ! Personne ne vous oblige à venir ici. Si vous n'êtes pas satisfait, aller consulter d'autres sites plutôt que de venir insulter constamment l'équipe journalistique.

avatar XiliX | 

@nicopulse :

Pourquoi ?

avatar HoulaHup | 

@Terragon :
Mais qu'est-ce que tu as à chigner constamment sur les commentaires ? Personne ne t'oblige à venir ici. Si tu n'es pas satisfait des commentaires, va consulter d'autres sites plutôt que de venir te plaindre des autres commentateurs.

;-)

avatar Terragon | 

@HoulaHup :
LOL

avatar BLM | 

Est-il nécessaire de mettre à jour les "Airport Express" toute 1ère génération?
Et comment faire sachant que "Airport Utility" de El Capitan ne reconnaît pas ces vieilles bornes ?
Merci

avatar r e m y | 

impossible de savoir si ces bornes sont concernées ou pas... en tous cas Apple ne diffuse pas de mise à jour du firmware de ces vieilles bornes. J'en ai encore une et l'ancien Utilitaire Airport (sur SnowLeopard) ne me propose aucune mise à jour pour ma vieille borne. Seule mon Airport Express recente (la carrée avec fil electrique), mon Airport Extreme (carrée également) et la TimeCapsule ont eu droit aux nouveaux firmware.

Idem pour les versions de MacOS X inférieures à Mavericks. Que ce soit pour MountainLion, Lion, SnowLeopard, Apple ne diffuse pas de mise à jour de sécurité, mais ca ne signifie pas pour autant que ces versions ne sont pas concernées...

avatar ovea | 

@r e m y :
Oui, c'est réellement dommage qu'apple n'est pas d'obligations de mises à jour pour des versions de leurs systèmes décrétées trop anciennes.
Peut-être que pour cela, la compensation serait de les rendre open sources afin que les utilisateurs s'en emparent.

avatar r e m y | 

Et c'est la même chose pour iOS car seul iOS9 a été mis à jour. Or on peut imaginer que ceux qui ont des appareils toujours sous iOS8 voire iOS7 sont toujours exposés à cette faille!

Apple considère qu'il "suffit" de mettre à jour la version de l'OS (d'autant que c'est "gratuit") pour bénéficier de ces mises à jour de sécurité.

Et ils ne vont certainement pas passer en opensource les anciennes versions de l'OS. A ma connaissance, la version la plus récente de MacOS mise dans le domaine public par Apple est le Systeme 7.5 pour Macintosh

avatar marc_os | 

@Hydrog3n :
Si. Cet article montre que quoi qu'en pensent certains, Apple semble faire ce qu'il faut pour corriger les failles découvertes en faisant attention que cela porte préjudice à personne (cf les tierces parties prévenus discrettemr).

avatar r e m y | 

Ca montre aussi qu'Apple n'hésite pas à laisser béante la faille sur les matériels ou versions d'OS jugés obsolètes et ce , sans même prévenir clairement les utilisateurs concernés, ne serait-ce qu'en les incitant à upgrader leurs matériels ou passer aux versions plus récentes de l'OS.

C'est quand même dommage, je trouve.

avatar karayuschij | 

Et si on n'a pas de borne Airport comment fait-on pour la mettre à jour ?

CONNEXION UTILISATEUR