AirPort Extreme et Time Capsule : nouveau firmware pour SSL/TLS (màj : Heartbleed)
La soirée des mises à jour n'est pas terminée. Nous avons eu droit à une amélioration de la sécurité pour les trois derniers systèmes d'exploitation (lire : Mise à jour de sécurité pour OS X Mavericks, Mountain Lion et Lion), voici maintenant un nouveau firmware pour les bornes AirPort Extreme et Time Capsule (801.11ac, de format allongé), qui passe en version 7.7.3. Cette mise à jour est d'importance car elle règle des problèmes liés à SSL/TLS. Apple ne le précise pas, mais cela ressemble beaucoup à la faille de sécurité Heartbleed… dont le constructeur avait pourtant assuré qu'elle ne touchait aucun de ses produits ni services (lire : Apple : OS X et iOS non concernés par Heartbleed).
Heartbleed frappe OpenSSL depuis décembre 2011, mais Apple utilise une version plus ancienne de l'implémentation des protocoles SSL et TLS. Il est donc difficile d'affirmer que ce nouveau firmware est bel et bien en lien avec la vulnérabilité ou pas.
Les précédentes générations de ces deux bornes ne sont pas concernées par cette mise à jour. Apple prévient par ailleurs qu'après l'application de la mise à jour, certains utilisateurs devront réactiver la fonction Back to my Mac via l'utilitaire AirPort ainsi que dans les préférences iCloud d'OS X.
Mise à jour : Apple a donné à Macworld quelques précisions concernant la vulnérabilité OpenSSL qui frappe ses bornes Airport Extreme et Time Capsule. Le mot n'est pas prononcé, mais il s'agit bien d'Heartbleed.
Le nouveau firmware fournit un correctif pour la vulnérabilité récente OpenSSL destiné aux dernières générations des stations AirPort Extreme et AirPort Time Capsule (juin 2013). Cette vulnérabilité ne touche que les bornes AirPort récentes avec la fonction Back to my Mac activée. Les utilisateurs de générations précédentes [de ces bornes] n'ont pas besoin de mettre à jour leurs stations.
Afin d'être tout à fait clair, le communiqué assure que la vulnérabilité ne permet pas de voler des mots de passe; en revanche, un hacker tirant profit d'une attaque de type « man in the middle » (entre le routeur et l'ordinateur de l'utilisateur) peut avoir accès à l'écran de démarrage du routeur ou de l'ordinateur. Les identifiants Apple ainsi que les mots de passe n'ont pas été affectés et ne sont pas en danger.
Et les autres ??
ben ils sont pas concernés par des bugs, donc pas de mise à jour. ce n'est qu'un numéro de plus sinon.
"mais Apple utilise une version plus ancienne de l'implémentation des protocoles SSL et TLS"
? ils utilisent surtout leur propre implémentation, qui n'était pas concernée par le bug de heartbleed. (mais par un AUTRE bug, héhéhéhéhé...)
Je suis en 7.6.4 et l'utilitaire airport me dit que c'est à jour... =|
C'est fou c'que inspire la confiance !
C'est fou c'que ça inspire la confiance !
Ben, quand y'a une faille, ils corrigent la faille. Quand y'a pas de faille, ils ne corrigent rien.
J'vois pas ce que tu veux de plus.
Apple n'a pas dit que ses produits n'étaient pas concernés par Hearbleed — Apple ne communique quasiment jamais sur la sécurité de ses produits avant de corriger les failles — elle parlait seulement de ces installations en ligne (iTunes Store, Apple Store, etc).
Description: An out-of-bounds read issue existed in the OpenSSL library when handling TLS heartbeat extension packets. An attacker in a privileged network position could obtain information from process memory. This issue was addressed through additional bounds checking. Only AirPort Extreme and AirPort Time Capsule base stations with 802.11ac are affected, and only if they have Back to My Mac or Send Diagnostics enabled. Other AirPort base stations are not impacted by this issue.
http://support.apple.com/kb/HT6203
Pas de quoi en faire un fromage allégé à 40 %.
Bonjour,
Je suppose qu'il y a un rapport de cause à effet avec un problème que j'ai, sans avoir mis à jour...
Depuis cette nuit, l'utilitaire Airport s'ouvre régulièrement tout seul , avec une pastille rouge indiquant 2 alertes pour ma borne Airport Extreme et une pour l'Airport Express.
- Pour la première, une mise à jour m'est proposée
- Pour les deux, on me signale que mon identifiant Apple ou mon mot de passe n'est pas reconnu...
Et j'hésite un peu à retaper mon mot de passe comme proposé...
Ah ben, apparemment, après mise à jour, il suffisait de cliquer sur "Résoudre ce problème et retaper le mot de passe pour le résoudre.
Bon, maintenant, les bornes Airport Express ont du mal à se reconnecter. J'imagine qu'il va falloir ré-introduire le mot de passe du réseau...