Avec macOS 12.1, Apple a bouché une faille « Powerdir » repérée par Microsoft

Mickaël Bazoge |

Microsoft a identifié une faille de sécurité dans macOS qui a été corrigée par Apple avec macOS 12.1 (livré en version finale mi-décembre). La vulnérabilité, baptisée « Powerdir », permettait à un malandrin de contourner les protections dans la technologie de transparence, de consentement et de contrôle (TCC) du système d'exploitation, introduite en 2012 avec OS X Mountain Lion.

Le panneau Confidentialité des préférences de macOS est l'interface TCC.

TCC a été mis au point pour aider les utilisateurs à configurer les réglages d'autorisation des logiciels macOS (accès à la webcam, au micro, aux données de localisation). Apple y a intégré un mécanisme qui empêche l'exécution de code arbitraire, et a renforcé cette politique en restreignant l'accès TCC aux seules apps ayant un accès complet au disque.

Les chercheurs en sécurité de Microsoft ont toutefois mis le doigt sur une faille qui permet d'injecter des données malveillantes dans la base de données TCC, qui stocke les requêtes des logiciels. De cette manière, un brigand est en mesure d'orchestrer une attaque basée sur les données personnelles de l'utilisateur. Un pirate pouvait ainsi accéder au micro pour enregistrer des conversations privées, ou réaliser des captures d'écran d'informations sensibles.

La vulnérabilité, identifiée CVE-2021-30970, a donc été bouchée avec macOS 12.1, qu'on ne peut que recommander d'installer rapidement.

avatar mat16963 | 

Heureusement que toutes les entreprises ne sont pas comme Apple, qui ne signale JAMAIS des failles de sécurité dans les systèmes concurrents…

avatar radeon | 

Sur le screenshot l’utilisateur est logué en root quand même

avatar Jean-Jacques Cortes | 

Merci Microsoft, longue vie à Bill Gates et à son successeur à la tête de la compagnie👍

avatar MarcMame | 

« La vulnérabilité, identifiée CVE-2021-30970, a donc été bouchée avec macOS 12.1, qu'on ne peut que recommander d'installer rapidement. »
———-
Cool !
Je m’empresse de lancer une recherche de mises à jour sur High Sierra et l’autre sur Mojave

avatar 0MiguelAnge0 | 

@MarcMame

Oui, MacG sont un peu hors sol, pensant que tout le monde met au tas leurs machines chaque année pour avoir des OS tjrs compatibles!

Par contre, pour celles bloquées sur Mojave ou tout autre Machine n’ayant pas pu passé le cap d’El Capitan, on attendra une autre news, un jour, peut-être…

avatar en chanson | 

Le mac serait un os sur? On nous aurait menti?

avatar Dust | 

Pas de mise à jour pour Big Sur?

avatar Dust | 

Après recherche, oui, c'est patché dans 11.6.2

CONNEXION UTILISATEUR