Deux failles de sécurité bouchées dans Monterey, mais pas dans Big Sur ni Catalina

Mickaël Bazoge |

La mise en ligne d'une nouvelle version de macOS Monterey s'accompagne habituellement d'une mise à jour de sécurité pour les deux systèmes d'exploitation précédents, en l'occurrence macOS Catalina et Big Sur. Sauf que ça n'a pas (encore) été le cas suite à macOS 12.3.1.

Disponible depuis jeudi dernier, macOS 12.3.1 corrige des problèmes liés aux écrans externes, au Bluetooth, ainsi qu'au support des eGPU pour les Mac Intel. Mais cette nouvelle version contient aussi deux correctifs de sécurité : une faille permettant à une app malveillante d'exécuter du code arbitraire avec les privilèges du kernel ; et une seconde liée aux pilotes de la carte Intel Graphics.

Les utilisateurs de macOS Monterey vivent sans la peur de subir ces vulnérabilités. Mais Intego s'inquiète de l'absence de mises à jour de sécurité pour Catalina et Big Sur. Ce d'autant que ces failles ont été activement exploitées, a révélé Apple. Les possesseurs de ces Mac doivent donc serrer les fesses croiser les doigts en attendant un geste d'Apple.


avatar Madalvée | 

En même temps avec les machines bloquées à Catalina on vivra sans filet dès l'automne prochain, autant s'habituer.

avatar cecile_aelita | 

@Madalvée

Même ma machine qui y a droit, je vis sans filet avec du coup (vu que je suis toujours sur big sur 🙂).
En même temps mon Mac mini vit sous El Capitan depuis des années sans soucis 😉.

avatar Eyquem | 

@cecile_aelita

Tu n’aimes vraiment pas tourner avec les derniers systèmes toi, pareil sur iOS il me semble ! 😅

avatar cecile_aelita | 

@Eyquem

C’est vrai 😋!!
Je n’ai rarement besoin des nouveautés, par contre j’ai besoin d’avoir la meilleure autonomie possible 😊

avatar John McClane | 

@cecile_aelita

"j’ai besoin d’avoir la meilleure autonomie"

Mon iPad et mon iPhone passés sous iOS 15 te le confirment : tu as bien raison.

avatar cecile_aelita | 

@John McClane

C’est comme ça à chaque mise à jour d’iOS 🙂

avatar MGA | 

@cecile_aelita

« C’est vrai 😋!!
Je n’ai rarement besoin des nouveautés, par contre j’ai besoin d’avoir la meilleure autonomie possible 😊 »
J’ai vraiment l’esprit mal tourné ce matin 🤣😉➡️🚪

avatar cecile_aelita | 

@MGA

J’ai beau chercher, je ne vois pas la blague « mal tournée » 😅.

avatar Fagour | 

woww avec ce que ça coûte on perd de plus en plus en fiabilité !! Mac 12.3.1. correspond à macOS Monterey s, en tant que utilisateur, avant de nous faire faire des MAJ faites des test de fiabilité ! parce-que là je serre les fesses carrément !!

avatar Yoshi_1 | 

@Fagour

C’est pas un problème de fiabilité, c’est un problème de faille de sécurité.

avatar David Finder | 

@Fagour

Tu n’as pas bien compris le sujet je pense.

avatar misterbrown | 

Comment ça !!?
Je viens de passer à Catalina depuis Mojave pour avoir mes failles suivies.
Pas envie de rechanger d’OS.
C’est quoi ce suivi @Apple ?

avatar r e m y | 

Mais est-on sûr que ces failles existent sur les versions antérieures à Monterey?
Ne pourraient-elles pas être spécifiques à Monterey?

avatar Khrys | 

@r e m y

Je me suis fait le même réflexion! Possible que les deux versions précédentes ne soient pas concernées par le problème!

avatar fte | 

@r e m y

Je me suis posé la question mais moyennant qu’une boîte active dans la sécurité dit qu’elles n’ont pas été fixées sur ces systèmes, je suppose que c’est parce qu’elles affectent ces systèmes.

Mais ce serait à vérifier avant de se mettre à gueuler très fort, oui.

avatar SyMich | 

Ces failles sont bien présentes sur les versions antérieures de macOS (et y compris sur Mojave), mais il se dit qu'Apple devrait annoncer à la conf de developpeurs qu'ils ne supportent plus désormais que la version la plus récente de l'OS, aussi bien pour macOS que pour iOS (ca a toujours été le cas sur iOS). Les utilisateurs doivent migrer vers la version la plus récente s'ils veulent être correctement protégé. Maintenir plusieurs versions de l'OS est trop contraignant, aussi bien pour Apple que pour les développeurs (à priori c'est comme ça qu'ils nous le "vendront").

avatar mat16963 | 

@SyMich

« mais il se dit » qui « il » ?
Et ça serait complètement incohérent avec leur volonté de reconquérir le marché de l’entreprise. Mais on n’est pas à une incohérence près ces temps…

avatar SyMich | 

"Il"... le support developpeurs interne d'Apple

avatar marc_os | 

@ SyMich

Mouais.
Et les machines qui sont "trop vieilles" et sur lesquelles on ne peut pas installer le dernier OS ?
Et les machines avec des logiciels incompatibles avec le dernier OS ?

Curieux de voir si "il" aura raison.

avatar mat16963 | 

@SyMich

Tu as un lien? Je n’ai rien vu de tel…

avatar SyMich | 

Ne cherche pas, tu ne trouveras rien d'écrit avant que ce soit définitivement acté et annoncé officiellement (a priori à l'occasion de la prochaine WWDC).
Dirigeant les équipes développement iOS d'une grosse SSII, je suis en contact permanent avec le support développeurs d'Apple. L'info est donnée oralement et avec beaucoup de précautions car si c'est la tendance actuelle, une volte-face n'est pas exclue (d'ailleurs je pense que c'est aussi pour sonder les développeurs, qu'on nous a lâché cette info...)

avatar mat16963 | 

@SyMich

Pff… ça serait une grosse régression. J’espère alors que vous exprimez une avis défavorable envers cette mesure et qu’ils vont en effet revenir en arrière… Comment comptent-ils imposer le Mac en entreprise et en même temps ne plus fournir de màj de sécurité ?
Sans compter les Macs ne supportant pas au-delà de Catalina, Big Sur ou Monterey qui seront laissés sur le côté…
C’est vraiment une très mauvaise nouvelle si c’est avéré…

avatar marc_os | 

@ SyMich

> d'ailleurs je pense que c'est aussi pour sonder les développeurs, qu'on nous a lâché cette info

Et qu'avez-vous répondu ?
Banco, ou bien "pensez aux clients qui ont dépensé une grosse somme d'argent mais qui ne peuvent pas mettre à jour leur OS ?"

avatar SyMich | 

Nous,on est peu impacté, on tient nos bécanes à jour (à part quelques machines de test qui sont sur d'anciens OS pour vérifier la compatibilité de nos développements), c'est plus nos clients qui peuvent être embêtés, notamment certaines entreprises qui ont pour politique de rester sur des versions stables (mais anciennes) de leurs OS plutôt que de risquer d'essuyer les plâtres des versions à jour (avec les problèmes de compatibilité de leurs applications métiers...)

La réponse est prête du côté d'Apple... ce n'est pas une bonne politique de rester à la traine et ça ne peut que simplifier la gestion d'un parc de machines que de pousser à ce que tout le monde adopte une seule et unique version de l'OS.

Bref attendons les annonces officielles (si elles viennent), on verra bien. De toutes façons on n'aura pas le choix.

avatar r e m y | 

Je peux comprendre qu'Apple aligne sa politique de mise à jour de sécurité entre iOS et macOS, mais à ce jour, ils n'ont rien annoncé ! Ce serait un peu gros qu'ils laissent tomber 2 versions récentes de macOS comme ça, sans rien dire 😳
(Surtout par rapport à des failles dont ils disent eux-mêmes qu'elles sont activement exploitées! 😡)

avatar SyMich | 

Alors là ce n'est qu'un avis personnel, mais je suis convaincue qu'ils vont finir par diffuser les mises à jour de sécurité pour Catalina et Big Sur. Je pense qu'ils ont volontairement tardé à le faire pour mesurer les réactions des utilisateurs... s'il n'y a pas de réaction, ca les encouragera à aller en ce sens, si ca râle trop, ils vont attendre encore un peu (1an? 18 mois?) pour ne plus maintenir que la version en cours de l'OS.

avatar starsk | 

C'est pas du tout génial Apple...

avatar fabiendirect | 

Il est temps de se réveiller ! Je me suis rendu compte de ça depuis longtemps. C’est parce que je ne soutiens pas cette politique d’achat permanent imposée par Apple que j’ai abandonné la marque

avatar marc_os | 

@ fabiendirect

C'est vrai que sous Windows il y a beaucoup moins de virus. 🤪

avatar Scooby-Doo | 

@marc_os,

On ne parle pas de virus dans cet article !

On parle de ceci qui est ultra grave car exploité :

« une faille permettant à une app malveillante d'exécuter du code arbitraire avec les privilèges du kernel ; et une seconde liée aux pilotes de la carte Intel Graphics. »

Les mots codes arbitraires, privilèges du kernel, auraient dû vous faire bondir.

Comment est-ce possible avec ce système d'exploitation ?

Windows a ses problèmes !

Ils sont connus et Microsoft travaille dessus, nouvelle révision majeure après nouvelle révision majeure, patch après patch, etc.

avatar marc_os | 

@ Scooby-Doo

> On parle de ceci qui est ultra grave car exploité

Exploité par quoi ?

avatar Rin-Kun | 

J’ai une mise à jour 2022-03 pour Catalina, c’est pas celle là ?

avatar maxou56 | 

Non cette MAJ date du 14 mars (c'est la version 11.15.7-19H1824), comme 12.3 et 11.6.5
https://support.apple.com/fr-fr/HT213185

avatar bdlapierre | 

https://www.macworld.com/article/630407/macos-big-sur-11-6-6-security-updates.html

Pas encore détectable par les mises a jour système en France apparemment ;/)

CONNEXION UTILISATEUR