Retour sur la faille qui a fait trébucher le Mac

Christophe Laporte |
On en sait un peu plus sur la faille qui a permis à Charles Miller de prendre le contrôle du MacBook Air lors de la conférence CanSecWest (lire notre une : Un MacBook Air hacké en deux minutes). Il a très probablement tiré profit d’un défaut de la bibliothèque PCRE qui est utilisée par le moteur JavaScript de WebKit/Safari.

PCRE est une bibliothèque open source offrant la possibilité de manipuler des expressions régulières compatibles Perl. Le bogue en question dans PCRE permet d’effectuer des débordements de tampon (buffer overflow). Charles Miller a ainsi pu exécuter un code externe lui permettant d’obtenir tous les pouvoirs sur le MacBook Air.

Il faut savoir que cette faille ne concerne pas uniquement le Mac. Tous les logiciels utilisant WebKit sont affectés par ce bug. Linux est vraisemblablement touché par cette faille, d'une part parce que KDE utilise WebKit et d'autre part, parce que la bibliothèque GLib de Gnome a recours à PCRE. Gnome est un environnement de bureau libre convivial inclus dans la plupart des distributions GNU/Linux (Debian, Red Hat/Fedora Core, Mandriva, Ubuntu, ...) ainsi qu'avec certains systèmes UNIX de souche BSD.

Ce n’est pas la première fois que cette bibliothèque open source connaît des problèmes de sécurité. En février, une faille assez similaire à celle découverte la semaine dernière avait affecté bon nombre de distributions Linux.

Apple a d’ores et déjà corrigé la faille dans WebKit. Et à ne pas en douter, Safari devrait être revu très prochainement.

Enfin, l’ordinateur sous Vista a également cédé un jour plus tard (lire notre article : Le Mac se sent moins seul), le PC sous Linux a fini le concours sans encombre. Même si l’on peut penser qu’il est potentiellement sensible au bogue exploité par Charles Miller. (merci à Hakime)

avatar oomu | 

comme tant d'autres avant lui qui font sensation, au bout d'un moment, on a juste envie de brûler nos idoles. c'est tout.

avatar Brewenn | 

Un système d'exploitation type Unix, qui ne propose pas a son installation d'initialiser le compte "root", est il un OS sur ?

avatar oomu | 

>Un système d'exploitation type Unix, qui ne propose pas a son installation d'initialiser le compte "root", est il un OS sur ?

oui

avatar shenmue | 

Et ça trolle trolle trolle ce refrain qui te plaît...
Et ça trolle trolle trolle c'est leur façon d'aimer..
Ce gros FUD qui t'entraine jusqu'au bout de l'ennui
Garde avec lui ce petit air de connerie....

avatar oomu | 

Os X , comme Linux ubuntu désactive le compte root. il est impossible de s'y connecter via mot de passe.

bien sur, il est facile , si votre compte est "administrateur" de placer un mot de passe à root.

notez que certains unix interdisent même de se connecter root via SSH.

Redhat linux permet même d'empêcher de passer root même depuis un compte à pouvoir à moins que vous soyez dans le bon "rôle" et le bon "contexte".

-
globalement, tout ce qui restreint l'accès TOTAL et sans GARDE FOU à la machine est BON et SAIN.

-
notez bien que vous êtes toujours capable de faire ce que vous voulez, sur VOTRE machine. c'est VOTRE ordinateur, et vous pouvez enlever tous les verrous.

-
dans le terminal, vous passez temporairement "root", via la commande sudo si votre compte est "administrateur".

c'est exactement le même mécanisme (la même technologie en dessous) que sous ubuntu linux. ("sudo" et /etc/sudoers)

avatar daito | 

@ luckylucke 666,

Je ne connais pas cette histoire d'iPod ou je ne sais quoi. Je ne sais pas si il a fait erreur avec cette histoire et le contexte. Mais je suis sûr d'une chose : l'auteur de roughly drafted a de très bonnes compétences quand il cause Apple. La preuve en est les deux articles que j'ai cité où il avance une argumentation intelligente et solide. Si erreur il y a eu de sa part, cela n'enlève rien de la très bonne qualité de ses autres articles.

Donc, au lieu de te focaliser sur une autre histoire qui n'est pas le sujet ici, je t'invite à lire ces deux articles et me dire où l'auteur a faux pour prouver son incompétence!!

avatar daito | 

@ luckyluck... bis

Oui tu as raison, c'est pas vraiment Perl mais c'est PCRE (et en passant, non Perl n'est pas un environnement des plus surs). Mais ça ne change rien. PCRE est un projet Open source, ce n'est pas du code Apple. Donc ta phrase avec les doigts d'Apple dans la même porte n'as pas de sens. Et surtout PCRE est aussi utilisé par KDEet par la a bibliothèque GLib de Gnome présente dans la plupart des distributions GNU/Linux (comme hakime l'a rappelé).

avatar james85 | 

On se trouve en présence des 3 camps habituels quand on trouve un problème chez Apple :

- ceux qui sont en train de dire que ce n'est pas la faute d'Apple, que c'est la faute à l'open source, au hacker qui s'est acharné, que ce n'est pas si terrible que ça, que c'est troller d'en parler, ...
- ceux qui grossissent l'événement, qui s'en délectent, qui en parlent et en reparlent, ...
- ceux qui savent qu'il y a des failles dans tous les OS, qu'il faut arrêter de se voiler les yeux, que le hackage n'a pas commencé avec Windows, mais avec Unix, ...

Bref : oui, il y a des trous de sécurité sous Mac OS X, il y a des trous de sécurité sous Windows, il y a des trous de sécurité sous Linux. Et on en trouve tous les jours de nouveaux et les éditeurs les ferment au fur et à mesure.

En attendant, que ce soit sur mon Mac ou sur mon PC sous Windows, je n'ai jamais été hacké. Ces ordinateurs sont connectés à Internet quasiment 18 heures par jour. Il y a un anti-virus sur l'ordinateur Windows et cet anti-virus se déclenche en gros une fois tous les 3 mois. Donc, il faut un peu arrêter les délires qui consiste à minimiser les failles de l'un et maximiser les failles de l'autre (ou inversement selon le "camp" où l'on se situe).

Je terminerais juste en disant que je pense que les dangers les plus grands actuellement sont les sites de phishing et que sur ce plan-là, il semblerait que IE7 et FF2 soient en avance sur Safari. Quoiqu'il faille être particulièrement abruti pour laisser son numéro de carte bleue n'importe où.

avatar Brewenn | 

Il y a même des serveurs d'entreprises qui hébergent des [i]"locataires"[/i] sans le savoir ! :))

avatar oZen | 

Voilà, exactement, fiez-vous à votre propre expérience de tous les jours et arrêtez de vous prendre la tête avec tout ça.

avatar Mc-aïe | 

Et PAN..!
Aïe..!

Je lirais les postes plus tard, bref..!
Tout ça, pour ça !

Bien sur, faute de trouver des virus, on s'acharne à trouver des failles (ce qui est bien en soit)..!

j'vais encore dormir tranquille moua !

avatar moloko_ | 

Je suis un utilisateur linux, partiellement switcher, chez moi le mac est une deuxieme machine et windows existe en wm uniquement, voila le décor est planté.

@Charlub
"comme quoi l'open source ça n'a pas que du bon..."

Pas d'open source = pas de mac OSX et pas de safari.
Il faudrait voir a arrêter de dire n'importe quoi, pourquoi ne pas raler sur la société qui utilise du code libre dans des logiciels payants et qui n'a rien corrigé, ni modifié dans ce code et qui pourtant commercialise le résultat final ?

Une faille est une faille, celle-ci est conséquente, inutile de revenir dessus.

Ce qui est grave la dedans, ce n'est pas la faille en elle même, puisqu'elle sera corrigée, c'est le fanatisme jumelé à la mauvaise foie absolue du fanboy Mac.

avatar Philactere | 

@Charlub
En même temps comme le dit moloko_ sans open source pas d'OS X et pas de safari. J'éspère que tu n'utilise pas mac OS X car étant basé sur le système d'exploitation libre [b]Darwin[/b] lui même composé du noyau [b]XNU[/b] utilisant le noyau [b]BSD[/b]... Bref que des trucs qui se baladent à poils comme tu le dis, mac OS X n'est de loin pas un système fréquentable j'imagine à tes yeux.

Quant à tes considérations politiques... no comment.

avatar moloko_ | 

@Charlub

Tu as raison sur toute la ligne, je suis un vilain communiste qui est en train de faire sa déclaration 2035 :)
Cela en dit long sur la pertinence de ton jugement sur l'open source ou sur tes interlocuteurs.

avatar shenmue | 

"c'est le fanatisme jumelé à la mauvaise foie absolue du fanboy Mac."

dit par un fanatique du libre, c'est croustillant...

avatar Brewenn | 

Avant 1492, sur la cote atlantique de l'Europe si l'on regardait à l'ouest, au delà des océans il n'y avait rien.

Prétendre le contraire était risqué, car les inquisiteurs vous envoyaient promptement au bûcher.

En 2008, les moeurs n'ont guère changées, les inquisiteurs sont toujours présents, prêts à vous envoyer au bûcher en vous soumettant d'abord à la "question" afin de vous faire avouer ce qu'ils souhaitent entendre .

Un blog est une aubaine, une "tribune" ou ils passent leurs journées[b]*[/b], à [i]essayer[/i] de vous convaincre que la Sainte Église de la Pomme est votre seul salut.

Après ces quelques semaines d'immobilisation forcée, ou je me suis amusé à observer ce Microcosme, j'en conclue qu'un con, même sur APPLE, resteras un con et ne sera jamais Thinkdifferent.

Heureusement la très grande majorité des posteurs tient des propos très intéressants mais trop souvent noyés dans les litanies envahissantes de nos No Thinkdiffernt.

Devant retrouver mon autonomie de mouvement, et bien que le site de Macgeneration soit une très bonne source d'informations sur le monde APPLE, je m'en retourne a des occupations beaucoup plus enrichissantes. (La grande inquisition devrait être heureuse un [i]trolleur satanique, emmerdeur[/i] en moins)

[b]*[/b] [i]sont seulement en cause, la petite poignée de "spécialistes" et de "gourous" qui se sont accaparés ce blog (voir le nombre de leurs posts, mais étrangement très rares dans les forums), à tel point qu'on se demande s'ils ont vraiment un job en dehors de leur Jobs .....[/i] :))))

avatar shenmue | 

il fait peur ton post Brewenn, j'espère pour toi qu'il s'agit d'un poisson d'avirl...
Etonnant de voir que SYSTEMATIQUEMENT ceux qui parlent de macfanatisme, inquisition, talibans du mac (c'est très fin...) utilisent des termes et des moyens de réflexions bien pires et plus outrageux que ceux qu'ils prétendent dénoncer...
A moins que, comme je le subodore, ces mêmes qui prétendent qu'on les empêche de s'exprimer ne supportent tout simplement pas qu'on ne soit pas d'accord avec eux et voudraient que tous les autres considèrent que leurs piques ou leurs trolls soient la nouvelle parole d'évangile donc...
Si toi Brewenn tu ne supportes pas la moindre pique en retour de tes quasi trolls habituels alors en effet, bon vent...lorsqu'on se met avant tout dans une posture de provoc comme est souvent la tienne, il faut être capable d'encaisser en retour...sinon, c'était pas la peine de venir faire le mariolle....

avatar Zoidberg | 

> franchement, que ce soit microsoft ou apple je m'en fout un peu... c'est juste qu'avec l'open source tes programmes se baladent "a poils" et ça mme branche pas vraiment ce côté...

Waouh, y a du niveau la!!!!

avatar Moonwalker | 

Merci à james85 pour ces quelques lignes de bon sens.

Pour le reste, les motivations des uns, les certitudes des autres...

Une faille a été découverte qui sera corrigée. Le "buffer overflow" est un grand classique de la faille sur Mac OS X (voir les détails des mises à jour de sécurité), j'ai cru comprendre que c'est structurel des systèmes Unix. Rien de nouveau sur le principe.

Que cette faille soit d'origine animale, végétale, Open Source ou Apple©, ça ne me concerne pas. Pas plus que le fait qu'elle soit ou non transposable sur d'autres OS et d'autres programmes. J'ai Mac OS X et Safari et il y a une faille qui vient d'y être découverte.

Pourtant, il y a depuis toujours une autre failles, opérante sur divers plate-formes, qui n'ai pas prête d'être corrigée. Elle se situe à quelques dizaines de centimètre devant mon écran, juste entre le clavier et la chaise. C'est la plus redoutable. Il n'y a pas de concours organisé pour la mettre en évidence car il n'y a aucune parade possible.

Néanmoins, je me connecte tous les jours à internet comme je sors de chez moi pour travailler malgré cette insécurité permanente, ces malfaisants prêts à me dévaliser ou ses chauffards impatients de m'écraser, sur la route ou au détour d'une page web.

avatar lemail2mi | 

Si je connaissais une faille exploitable sous windows, je la vendrai à une boite de spam et malware, je pense que ca rapporte plus que les 10000$ de ce concours.
Pour linux, les gens qui trouvent des failles de sécurité, ont plutôt tendance à faire remonter des correctifs ou des rapports de bug aux projets open source et non aucun intérêt à participer à des concours de ce genre.
Pour le mac c'est différent, il n'y a pas de marché du malware, et il y a une latence (qui est tout à fait normale) entre la découverte d'une faille sur un logiciel libre et le correctif mis en place par apple. Ceci permet à plein de "chercheurs en sécurité" de se faire de la pub pour pas chère en cassant du mac...

La sécurité d'une plateforme ne se juge pas forcément au failles de sécurité découvertes mais plus à l'exploitation qui en est faite.

avatar TequilaPhone | 

Bof... Concours de Fanboy tout ça

avatar Lelong | 

C'est ce que je pensais Miller préférait repartir avec le MacBook Air plutôt qu'avec le PC tournant sous Linux ou Windows.

avatar 2Bad | 

De toute façon, la "faille" demandait beaucoup trop de conditions pour être vraiment exploité. Beaucoup de bruit pour rien...

2Bad

avatar josephsardin | 

Et sinon, pour être objectif, ce mec est fort, Windows, Linux et Apple peuvent être (ou pouvaient être) attaqué de la même manière et pour finir, mac n'est pas invincible...

Arrêtons de toujours refouler les critiques. C'est grâce à ça qu'on avance.

Pour ce qui est du concours, c'est une très bonne idée ! Une faille reste une simple faille, ont ne peux pas la vendre à une boite de spam. Elle serait vite réparé.

avatar CF_melo | 

Les fana se sont pris une gifle et ont été remis à leur place.
La vérité n'est pas autre.
Le remettre encore en question est de la mauvaise foi.
Mais les bourgeois, c est comme les cochons, vous connaissez la suite.

avatar nona | 

2Bad a écrit:
~
~ De toute façon, la "faille" demandait beaucoup trop de
~ conditions pour être vraiment exploité. Beaucoup de
~ bruit pour rien...
~

C'est vrai. Il fallait que Safari soit installé sur la machine et que l'utilisateur clique sur un lien. Cela n'arrive jamais lorsque l'on utilise un Mac.

lemail2mi a écrit:
~
~ Si je connaissais une faille exploitable sous windows, je la
~ vendrai à une boite de spam et malware, je pense que ca
~ rapporte plus que les 10000$ de ce concours.
~

C'est évident. OS X n'a pas vraiment perdu. C'est juste un concours de circonstance extremement troublant si le Macbook Air a été cracké. Il n'y a aucune faille faille de sécurité réelle dans OS X. Dormons tranquille.

Christophe Laporte a écrit:
~
~ Ce n’est pas la première fois que cette bibliothèque
~ open source connaît des problèmes de sécurité.
~

Mais c'est bien sûr! Tout ça, c'est la faute à ce maudit open-source! Ces codeurs du libre alors, quels incompétents! En plus ce sont des fainéants qui ne se donnent même pas la peine d'écrire du vrai code Cocoa pour notre OS favori: regardez donc Firefox! Aucune intégration! Alors qu'avec tout juste deux doigts d'intelligence et un peu de bonne volonté, on pourrai si facilement le cacaotiser! Nah, tous des fainéants, je vous le dit!

Heureusement qu'on a Apple pour nous sauver!

nona

avatar v1nce | 

@nona

alors là, je n'ai qu'une chose à dire : +1

avatar cyberman | 

MAAA non, les vrais fanas ne se sont pas pris une baffe...
Les vrais Fanas, les vrais de vrais depuis plus de 18 ans et dont je fais partie, sont des gens lucides, qui savent qu'un système parfait n'existe pas. Les vrais Fanas sont justement très critique, cherchent à faire remonter idées et améliorations possibles. C'est justement ce comportement qui donne cette espèce "d'appartenance" qui fait que le Mac et sa communauté sont à part!

avatar Frodon | 

@nona
[quote]
C'est vrai. Il fallait que Safari soit installé sur la machine et que l'utilisateur clique sur un lien. Cela n'arrive jamais lorsque l'on utilise un Mac.
[/quote]

Non, il fallait en plus que le hacker ait accès à un compte utilisateur. C'est à dire soit qu'il s'en soit créé un au préalable (Ce qui était le cas de Charles Miller), soit qu'il ai obtenu l'accès au mot de passe d'un compte existant d'une façon ou d'une autre (Par phishing ou hacking).

Et ca n'arrive pas tous les jours!

avatar jobin | 

@nona

C'est quoi cette aggressivité ? :p

C'est pas parce que c'est précisé que le PCRE c'est open-source, que ça sous-entend que l'Open Source c'est pourri et que les mac c'est mieux, faut te calmer... Quand on parle de faille et qu'on précise quelle viens de Windows, sous-entend pas que windows c'est de la mer... ah si en fait :p

Mais sérieusement, faut se calmer on a pas insulté ta mère...

avatar egw | 

nona, je suis d'accord avec ce que tu dis souvent, sur la mauvaise fois de certains MacUsers, sur le tas de conneries monumentales sur Firefox et autres portages ayant fait office de tribune dans MacG, mais maintenant faut passer a autre chose. Mais la, il me semble que tu retournes exactement le meme type de raisonnements que tu decris. Sous pretexte qu'on dit Mac, il ne faut surtout pas parler de failles dis-tu. Mais sous pretexte qu'on a parler d'UNE libraire, qui se trouve etre open source, tu fais un proces d'intention en faisant dire au redacteur qu'il condamne le monde open source en soi, en ressortant une vieille rencoeur sur Firefox (que je comprends, mais, je me repete, faut quand meme passer a autre chose)... C'est quand meme malhonnete.

avatar Frodon | 

@nona
Firefox 3.0 est en Cocoa :) Evidement l'interface utilise toujours XUL, mais en dehors de ca, il utilise les API de Cocoa pour le reste.

avatar Philactere | 

@cyberman
Je n'aime pas tellement cette idée "d'appartenance" et de "communauté à pert" ça fait un peut secte... Ne perdons pas de vue qu'on parle d'un outil, certes qui peut être passionnant mais un outils tout de même.

Pour la première partie de ton commentaire je te rejoins totalement.

avatar Philactere | 

@jobin
Je crois que nona était ironique là...

avatar egw | 

Frodon, nona faisait de l'ironie (pour ceux qui ont rate l'episode, voici le [url=https://www.macg.co/enpassant/voir/124505]chef-d'oeuvre[/url] dont on parle).
Sinon, que l'interface de Firefox soit en XUL, c'est precisement ce qui est, en partie, reproche. Mais bon, c'est une autre histoire.

avatar Christophe Laporte | 

[quote]Mais c'est bien sûr! Tout ça, c'est la faute à ce maudit open-source! Ces codeurs du libre alors, quels incompétents! En plus ce sont des fainéants qui ne se donnent même pas la peine d'écrire du vrai code Cocoa pour notre OS favori: regardez donc Firefox! Aucune intégration! Alors qu'avec tout juste deux doigts d'intelligence et un peu de bonne volonté, on pourrai si facilement le cacaotiser! Nah, tous des fainéants, je vous le dit![/quote]

Cool nona. Respire un coup. Loin de moi l'idée de m'en prendre à l'open source. je disais juste que des failles avaient été découvertes récemment dans PCRE. Ni plus ni moins...

avatar Shralldam | 

L'ironie, ça se ponctue éventuellement de petits détails qui permettent de la soulever. Là, c'est plus qu'ambigu. Et je ne vois aucun signe de parti pris dans l'article qui semble enfoncer volontairement la librairie open source. Objectivement, elle a déjà montré des signes de faiblesses, et c'est ce qui est dit, point. Là on en fait tout un fromage, comme si on essayait de décrédibiliser l'open source, alors qu'à mon sens, ce n'est pas le cas. L'open source, je trouve ça génial, mais rien n'est parfait, ni le Mac, ni Linux, ni l'open source. Dire qu'il y a des failles (sans adjectifs douteux), c'est avant tout faire avancer le problème, non ?

avatar Gabone | 

bon les enfants vous n'allez pas recommencés

avatar GasyKaManja | 

Arrêtez de vous prendre la tête.
Moi, je pense que ceci n'est qu'un canular : poisson d'avril (en accord avec mac4ever). Ne trouvez vous pas bizarre qu'aucun site PC n'en parle ?
Et même pas macbidouille, ou macPlus ?
Les rédacteur veulent confronter maintenant les mac-users aux linuxien et c'est bien parti, à ce que je vois.

Sinon, +1 a cyberman, les vrais fanas ont connus des virus sur mac. Donc, la claque (si on peu parler d'une claque), on se demandait quand est-ce qu'elle allait arriver.

avatar Wolf | 

@ nona , c'est le problème de l'Open Source, c'est que c'est toujours des versons beta, voir alpha. D'un autre coté, y'a une telle énergie déployée pour faire des choses souvent très bien, mais pas fini, que ca en est impressionnant.

avatar Philactere | 

[MGZ] Shralldam
Si maintenant il faut mettre des balises quant on fait de l'ironie...
Et puis des LOL à la fin d'un mot d'humour et des smiles pour ceux qui ont un doute aussi ?

Donc pour ceux qui ne sont pas sûre de la teneur de mon propos je précise que c'est "énervé".

avatar Nicky Larson | 

[quote] (merci à Hakime)[/quote]
lol, le lobying fonctionne toujours. C'est le même hackime qui a sorti ces arguments sur OSNews et qui c'est fait sortir rapidement.

Je vais donc poster la réponse qui a été faite et qui explique que la faille ne provient pas de [b]PCRE[/b].
[quote]
I figured it would be a problem with webkit, pretty much anyone with more than two braincells in their head would. There is not much left in Safari that would be exploitable that is not webkit. The strength of open source code is not that it is without flaws, it is that it is open to inspection and once a flaw is found quickly fixed.

Based on the patch though [b]it does not look like the problem is in PCRE itself but in Webkit calculating the length of a nested regex.[/b] The length is then used to store the compiled regex. So now this is not a flaw in PCRE but [b]one in Webkit and perhaps KHTML.[/b] Webkit based browsers on Linux would be vulnerable to this though not the default browser for Ubuntu (or most other Gnome based distros), Firefox.

So GLib, and other apps not using Webkit (Apache and PHP among others) are not vulnerable to this particular attack.

EDIT: Nice sensationalist post without fact checking though. [/quote]

avatar obiwan-riko | 

Bon coup de Pub, c'est comme Greenpeace qui se sert d'une notoriété pour parler de lui...
Bon je retourne à mon Mac sans problème et répondre à nos clients qui appelle sans cesse : mais mon PC est long (désactive ton Anti-virus !) Heu je peux pas voir votre site (désactive l'anti-phishing truc bidule) J'arrive pas à configurer Outlook (Relisez votre procédure n°8569 sur email sous windows)...
Je m'arrête...

avatar cyberman | 

@Philactere

En effet, ca fait parfois un peu secte, et ce n'est qu'une machine, je te rejoins tout à fait...
Disons que c'est un peu la même chose avec les Fanas de Linux, qui se sentent bien entre eux, comme les possesseurs d'une VW Cox qui se rassemblent en meeting. C'est amusant de parler de la même passion, des mêmes centres d'intérêts. C'est rassurant de voir qu'on est pas seul à aimer les mêmes choses...
Amusant de passer quelques minutes par jours sur MacGé à découvrir nouveautés, infos et réactions.
Voilà ce que j'entendais par "appartenance".
Merci pour ton intervention qui me permet de préciser tout ceci ;-)
Bonne journée à toi,
A+

avatar foueche | 

Apple a gagné gros en prenant une giffle pendant ce concours, n'oubliez pas que c'est en faisant des erreurs qu'on apprend.
Et puis admettre des erreurs n'a rien de mal, mon système est stable à 99;9% je n'ai pas encore vu les 0,1% de failles dans mac os x

avatar daito | 

On va conclure :

1) La conférence CanSecWest, SPONSORISÉE PAR Microsoft avait pour but que de descendre Apple (société qui brille plus que Microsoft dans le domaine de la sécurité) et rien que ça. Les efforts de Miller se sont portés sur Apple et rien qu'Apple et tous les moyens sont bons.

2)Miller a utilisé une faille qu'il connaissait bien, CAR IL A EXPLOITÉ LE MÊME TYPE DE FAILLE DANS PERL POUR SON EXPLOIT DANS L'IPHONE. Le coup était mûrement préparé et facilité par un point fondamental : le code de Perl est Open source, donc un code visible que l'on peut scruter dans les moindres recoins pour trouver une faille.

3) Donc la faille exploitée ne relève pas du code Apple (pour ceux qui ont descendu Apple..) Cette faille est certes exploitable sur Mac, mais aussi sur Linux mais aussi sur Microsoft si ces composantes Open Source sont installées. Mais on a focalisé toute l'attention sur Apple, pour discréditer la marque tout cela avec la bénédiction de Microsoft.

Articles à lire :

http://www.roughlydrafted.com/2008/03/28/cansecwest-and-swiss-federal-institute-of-tech-deliver-attacks-on-the-reality-of-mac-security/http://www.roughlydrafted.com/2008/03/28/cansecwest-and-swiss-federal-institute-of-tech-deliver-attacks-on-the-reality-of-mac-security/

http://www.roughlydrafted.com/2008/03/29/mac-shot-first-10-reasons-why-cansecwest-targets-apple/

avatar shenmue | 

Bref...on voit de plus en plus l'arnaque de l'utilisiation des résultats de ce concours en terme de conclusion sur la fiabilité des OS:

- Miller dit lui même qu'il n'aurait eu aucun mal à faire un Hack aussi rapide sous win ou Linux...ici, on entend encore des arguments à deux balles disant que non (faut vous inscrire au prochain concours les gars)

- Miller dit lui même qu'il a passé 3 semaines a préparer son coup...ici, on entend que OSX se cracke en 2 minutes lers mains dans les poches

- Miller dit lui même qu'il veut passer sa vie à faire du mal à l'image de sécurité d'OSX...ici c'est un gars parmis d'autres qui ne pense pas à mal....

- Le concours est sponsorisé par Microsoft...ici, c'est un concours dans les règles de l'art et sans aucune pression extérieure...

Bref, ici on entend les mêmes dénoncer le soit disant fan-boisme de ceux qui trouvent à juste titre que ce concours et ses conclusions sont en bois et qui n'oseraient pas 2 minutes naviguer avec winwin sur le net sans anti-virus et toute la clique des protections habituelles derrière...

C'est juste DROLE...

avatar 2Bad | 

Merci daito et shenmue de clarifier les choses! Certains ici devraient arrêter de sombrer dans la paranoaïa sans esprit critique...

2Bad

avatar oomu | 

gruiiIIkkk

non sérieusement, pcre, c'est encore un de ces projets incontournable, que tout le monde adore (pour de bonnes raisons en plus), mais hé, il est des plus critiques. pour vous faire peur, pcre est utilisé au sein de php, apache et des centaines d'autres trucs utilisés un peu partout.

On va pas en mourir, car comme toujours faut des conditions spécifiques pour abuser d'un buffer overflow, bof, mais ce n'est pas rien.

bon.. et puis à terme, dans le futur, les "buffer overflow" provoqueront systématiquement des crash de l'application. ca sera mieux :)

(sisi,ça sera mieux)

je trouve toujours que l'industrie devrait prendre beaucoup plus au sérieux ces "briques" fondamentales. par exemple en contribuant machines de tests de regression (en boucle), procédures automatisées et intensives de preuve logicielle etc.

ca ne va pas ruiner apple, la fondation apache, Zend, et toute la clique de se faire un fond.

l'industrie met trop de temps à réaliser l'importance d'une brique opensource. Y a fallu du temps pour qu'il en soit de même pour Sqlite. (parti d'un bricolage de qualité par un passionné, dans le domaine publique à maintenant une fondation officielle qui chapeaute)

avatar oomu | 

@luckyluke666 [31/03/2008 17:04]

>daito, l'auteur de roughly drafted n'a aucune compétence technique. Pour preuve, le fait qu'il se soit fait
>berner par une blague de 1er avril et écrit un article expliquant que les iPods d'avant l'iPhone tournaient sous
>MacOS X dans la foulée. Quand il s'est rendu compte de son erreur, au lieu de l'admettre, il a prétendu que `

je me suis fait avoir dans ma vie par des blagues carembars, pour autant je vous assure que dans mon domaine je m'y connais et que je passe du temps à me documenter. mais hé, je suis seulement Presque PArfait (ce qui est mieux que tout le monde, vous en conviendrez)

il est en est de même de l'auteur de RoughlyDrafted.

il est FAILLIBLE !
il est pas impeccable

il a pas toujours raison !
Il est pas toujours un preux chevalier ! (moi si, toujours, j'assume tout, et j'ai jamais fauté, non, promis, honnêtement, regardez mon air d'ange)

mais il base ses articles sur des faits, sur une analyse de fond, sur les informations TECHNIQUES qu'il obtient. Il a évidemment envie de défendre le mac, mais il le fait au maximum avec ce qui se passe réellement techniquement.

et ça, cela se félicite.

il a écrit de très bons articles, qui rivalise avec des analyses de presse professionnelle. En particulier un article sur le business de nintendo et apple, où il est manifeste qu'il a lu les vrais chiffres d'affaires, bénéfices, ventes en volumes des constructeurs.

et puis des fois il se gaufre lamentablement. alors que moi je ne me suis jamais cogné contre une vitre à Amiens. jamais. bouh les complotistes !

--
autre chose, lisez les commentaires à ses articles. il y répond souvent, et c'est souvent des plus utiles

l'actuelle discussion sur le hack pcre est très pertinente.

-
il est plus provocateur que Gruber (Daring Fireball), et il a toute sa place dans une discussion "sérieuse".

-
un jour il aura la grosse tête, comme moi mais en plus petit, et il passera à autre chose. profitez en attendant.

CONNEXION UTILISATEUR