Microsoft détecte une faille dans le sandboxing de macOS, Apple la corrige

Mickaël Bazoge |

Comme c'est très régulièrement le cas, les équipes de chercheurs en sécurité de Microsoft ont prévenu Apple de la présence d'une faille de sécurité dans macOS. Une vulnérabilité (CVE-2022-26706) corrigée mi-mai par le biais de macOS 12.4 et des mises à jour de sécurité pour Catalina et Big Sur livrées dans la foulée.

Si ce n'est pas déjà fait, appliquez donc séance tenante ces mises à jour. C'est en cherchant des moyens de détecter des macros malveillantes dans Office que Microsoft a débusqué une faille dans le sandboxing des logiciels distribués sur le Mac App Store (c'est le cas de la suite bureautique). Elle permet de se faufiler en dehors du bac à sable censé limiter l'accès aux données de l'utilisateur et au système lorsqu'une app est compromise.

L'équipe de recherche de Microsoft a mis au point deux démonstrations de validité pour exploiter la faille dont une qui pourrait tenir dans un tweet ! Alertée, Apple a travaillé sur le correctif avec l'aide des chercheurs, et tout est bien qui finit bien — pour peu que vous ayez mis à jour votre Mac, bien sûr.

avatar Amaczing | 

😱 macOS est une passoire.

Signé la team R-APPLE-R 😈

avatar R-APPLE-R | 

@Amaczing

Une passoire en or qui plus est ! 😎

avatar R-APPLE-R | 

@Amaczing

Définitivement une passoire : https://9to5mac.com/2022/07/20/cloudmensis/ 😈

avatar Sillage | 

C’est beau quand des concurrents s’entraident…

avatar r e m y | 

Là, a priori, Microsoft travaillait pour ses propres intérêts, en cherchant des failles susceptibles d'être utilisées par des macros office malveillantes. Si les failles sont liées à MacOS, il est de leur intérêt qu'elles soient corrigées pour bloquer l'action de ces macros.

avatar Sillage | 

@r e m y

Oui, je sais bien. Il y a toujours un intérêt.

avatar mat16963 | 

@Sillage

Google et Microsoft ont véritablement des services dédiés à la sécurité et il est très fréquents que des failles des produits Apple soient débusquées par des ingénieurs de Google ou Microsoft, sans que cela soit directement lié aux produits de ces deux entreprises…
En revanche, Apple étant Apple, on se demande déjà s’ils ont un service qui débusque les failles de sécurité (tout comme un service qui lit les Feedbacks utilisateurs, mais ça je pense que ce n’est pas le cas). Dans tous les cas je n’ai jamais entendu qu’une faille dans un OS concurrent a été découverte par des ingénieurs d’Apple…

avatar r e m y | 

Mais même dans les OS d'Apple! Il est très rare qu'une faille soit découverte par Apple...
Il suffit de lire les notes accompagnant les mises à jour de sécurité. Les failles corrigées sont listées et elles sont attribuées à leur découvreur. Vous pourrez constater que c'est rarement Apple (et encore... je suppose que lorsqu'il n'y a aucune attribution c'est que ça a été découvert par Apple, ce qui n'est pas totalement certain.).

avatar Korell | 

@mat16963

Je pense que c’est une affaire marketing.
Apple ayant toujours été plus ou moins opaque…

S’ils distribuent un logiciel , et que quelques temps s’il découvrent par eux-mêmes une faille, et qu’ils s’attribuent eux-mêmes la découverte sans doute on t’il peur qu’on leur reproche une négligence d’avoir été conscient en amont de cette faille.

CONNEXION UTILISATEUR