La faille rootpipe prend racine dans OS X (y compris 10.10.3)
Malgré la sortie d'un correctif au début du mois, la vulnérabilité rootpipe n'est pas de l'histoire ancienne.
D'une part, Apple n'a publié ce patch que pour OS X 10.10.3. Les versions antérieures du système sont donc toujours affectées par cette vulnérabilité qui permet d'escalader les droits pour prendre le plein contrôle (accès root) de la machine sans le mot de passe administrateur.
Apple a indiqué au chercheur Emil Kvarnhammar, qui a dévoilé publiquement tous les détails sur sa découverte après la sortie du correctif, qu'il n'y avait pas de mise à jour de sécurité pour les anciennes versions car cela demandait des « changements significatifs ».
C'est faux, rétorque fG!. Le hacker explique dans un billet qu'il est « possible de corriger rootpipe dans les anciennes versions d'OS X sans changement majeur ». Il assure qu'Apple n'a pas besoin de développer d'extension pour le kernel (noyau) et détaille toutes les modifications qui permettraient de corriger la faille dans 10.10.2 et antérieure.
« La réponse d'Apple à ce problème est totalement inacceptable. Il n'y a pas de déclaration officielle de fin de support pour ces versions d'OS X, s'insurge fG!. Laisser les utilisateurs exposés à des vulnérabilités aussi dangereuses et avec des exploits dévoilés publiquement est tout simplement irresponsable. »
Si rootpipe n'est vraiment pas de l'histoire ancienne, c'est aussi parce qu'Apple n'a apparemment pas correctement bouché la faille dans 10.10.3. Objective-See, spécialisé dans les logiciels de sécurité, affirme avoir trouvé « une manière triviale pour tout utilisateur local d'abuser de nouveau de rootpipe — y compris sur un 10.10.3 patché. » Les informations techniques ne sont pas divulguées publiquement afin d'éviter toute exploitation. Objective-See dit avoir prévenu Apple.
Rappelons que pour qu'un malandrin exploite rootpipe, il doit avoir un accès physique à la machine ou passer par le biais d'un malware dans le cas d'un accès distant.
@lmouillart :
Lol : osx, ios au contraire Apple a bien davantade de synergie constructeur/developpeur.
Microsoft la rejoint en develloppant les lumia, xbox
en même tant c'est son fond de commerce au hacker de taper sur telle ou telle firme.
Normal qu'il fasse du bruit pour ça. Dans les faits l'impact du hack doit se cantonner à des expériences in situ de geek en herbes.
Apple bride volonerement les évolutions logicielles pour pousser les gens vers l'**IMMONDE** Yosemite. Je peux vous le démontrer. La dernière mise à jour des formats raw n'est réservée sur l'appstore qu'a Yosemite alors que le package récupérable via software update server d'os x server apres avoir été localisé dans les répertoires du serveur est installa le sur Mavericks... Apple mérite une tonne de baffes. Elle argumente qu'il est coûteux de mettre à jour les versions précédentes d'os x niveau sécurité... C'est de la mauvaise foi commerciale que même microchiotte n'a jamais osé faire. J'en ai marre de cette politique de merde de la part d'Apple. Je vais finir par regretter la
Periode sombre de 1996...
Parfois c est parce que la faille est compliquée qu il faut du temps, Microsoft a bien mis 15 ans pour corriger une faille.
Il faut du temps et de la patience et cela même si on s appel Microsoft ou Apple.
"Microsoft a bien mis 15 ans pour corriger une faille."
Non, ils ont mis 1 an à partir du moment où la faille a été découverte (c'est ces 1 ans là qui sont bien trop longs).
ll ne faut pas confondre le temps de résolution (découverte -> résolution -> livraison du correctif) et la durée de vie de cette faille (livraison du code initial -> livraison du correctif).
@lmouillart :
justement on ne sait pas ce que fout Apple pour cette faille
Justement il ne branle rien, elle a servit de 0days par le passé et elle devrait déjà être corriger sans qu'un chercheur arrive et est à la ressortir de son trou.
@lmouillart :
Non une faille serveur a etr detectee il y a 15 ans et ils n ont cessé d essayer de la corriger.
Merci à ce hacker de dénoncer le comportement d'Apple !
Apple abandonne donc scandaleusement les utilisateurs sous Mavericks. Hallucinant.
La solution d'Apple : passer sous Yosemite, ou mieux, acheter un nouveau Mac. Ben voyons.
Je crois bien qu'au bout du compte, à la fin de l'histoire et de la guerre, c'est bien Microsoft qui gagnera.
Triste constat.
Comportement inadmissible de la part d'un fabricant de montres!
@Orus :
Tous les macs sous Mavericks sont compatibles Yosemite je crois! Apres ce n'est pas une excuse pour ignorer mavericks et obliger à passer à Yosemite! A la rigueur, ca se comprend en termes de features mais au niveau sécurité c'est inadmissible! A côté, microsoft met tjrs a jour de très anciens windows pour combler ces failles
Un accès physique à la machine ou un malware.
Bon ça va je peux dormir tranquille.
"Un accès physique à la machine ou un malware."
Ça comprends aussi les accès distants, ouverts par exemple par des failles qui donnent accès à un utilisateur standard.
Salut justement dis m'en un peu plus sur ces accès à distance.
Comment cela se passe t-il?
Pour une boite qui engrange des milliards ce n'est pas très sérieux... Je me sens un peu comme une cash machine (c'est moi qui le donne ici)... :-(
Pour les vieilles version d'OSX qui ne sont plus mises à jour par Apple, osef. Les clients n'ont qu'a acheter un nouveau mac qui supporte un OS à jour.
le hacker fait très bien de divulguer, ça permet aux DSI de faire des tests de résistance. Il vaut mieux prendre les devants plutôt que de subir quand le mal est fait.
Ce hacker est un white et fait son boulot de lanceur d'alerte comme le font les journalistes pour faire bouger les choses.
Un constat : Apple est plus réactive sur iOS, son marché le plus rentable. Dommage OS X !
Elle est plus véloce pour se prémunir contre le jailbreak et l'installation de popcorn Time :(
"Apple claimed that Tiger was the most successful Apple OS release in the company’s history."
Apple annonça que Tiger était la plus grande réussite d'un système d'exploitation Apple dans l'histoire de la compagnie (cité dans Mactracker, OSX 10.4, onglet "History").
Mais ça, c'était avant.
Dommage que les pilotes wifi sur le mac ne ont pas open source.
Il y a bien longtemps que j'aurais installé une distribution sure et sécurisée.
Pour ceux qui n'ont pas encore compris, c'est une faille mis en place par et pour la nsa.
Pages