Une grosse faille de sécurité corrigée dans 10.10.3 mais pas les versions antérieures
OS X 10.10.3, sorti cette semaine, comble une grosse faille de sécurité (CVE-2015-1130) baptisée rootpipe. Ce correctif n'est en revanche pas proposé pour les versions antérieures du système (10.10.2 et précédent).
Rootpipe avait été annoncé en novembre dernier par le chercheur en sécurité Emil Kvarnhammar. À l'époque, le chercheur n'avait dévoilé publiquement aucune information technique pour éviter une exploitation. Il expliquait juste que rootpipe permettait d'avoir un accès root (tous les droits sur la machine) sans le mot de passe administrateur normalement nécessaire. Il avait convenu avec Apple, informée de la faille, qu'il en dirait plus sur sa découverte après la sortie du correctif.
À la suite de la parution de 10.10.3, Emil Kvarnhammar a donc publié sur son blog tous les détails sur rootpipe. Il s'agit grosso modo d'une API secrète qui permet à un utilisateur (administrateur ou simplement standard) d'obtenir un accès root. Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple.
« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieur », écrit le chercheur en sécurité qui « [recommande] à tous les utilisateurs d'OS X de passer sur 10.10.3. »
Emil Kvarnhammar va présenter rootpipe lors de la Security Conference 2015, le 28 mai à Stockholm.
« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieurs »
Respect du client, suivi technique et sécuritaire des produits, tels sont les principes d'Apple. Quel professionnalisme.
@ Philactere : C'est quoi ton métier ?
@marc_os :
Pourquoi cette question ?
@Philactere
+1
Soit la faille est difficilement exploitable et necessite un acces physique et la on peut se permettre de ne corriger que les nouvelles versions du soft.
Soit la faille presente un vrai danger, et la il faut corriger les versions utilisées meme si elle le sont peu.
Si la faille en question presente une gravite meme moderee, le fait qu'Apple ne la corrige pas sur les systemes au moins justqu'a 10.6 (ceux concernés) il 'sagit d'un vrai mepris du client et de l'irresponsabilite de la societe. Inadmissible.
Le fait est que si la faille demande des changement profond dans l'OS cela implique une chose: c'est une faille liee a la conception du soft et pas simplement une erreur de programmation. C'est tres grave.
Rajoutons en plus que OS X 10.3.0 ne peut toujours pas etre consideré comme une version stable. En fait c'est toujours une version beta dans les faits qui contient toujours beaucoup trop de bug et qui reste trop lente.
On ne peut recommander a personne en situation de production de passer a 10.3. Et a la vitesse ou ca va on aura quelque chose qui commencera a etre utilisable avec la 10.6...
@C1rc3@0rc :
« Rajoutons en plus que OS X 10.3.0 ne peut toujours pas etre consideré comme une version stable. En fait c'est toujours une version beta dans les faits qui contient toujours beaucoup trop de bug et qui reste trop lente. On ne peut recommander a personne en situation de production de passer a 10.3 »
Cela n'est que ton avis et/ou ton expérience. Chez moi cela fonctionne bien hormis 1 bug minims et ce depuis le tout début : iTunes qui des fois refuse de se fermer. Et encore avec la dernière version ce bug a disparu.
Pas de lenteur constatée non plus. Le seul bémol concerne des blocages avec certains sites sous Safari, un Safari augmenté de quelques plugins. Tellement rares que je n'ai pas poussé plus loin les investigations et passe alors sous Firefox ou bien l'iPad.
Avec en plus une machine à usage professionnel et en production.
Je doute que Mac OS X 10.3.0 (Panther) tourne sur les machines actuelles :)
ça va y'a pas de quoi casser 3 pâtes à un canard
T'es ravi au lit ?
"Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple."
Oh ba cela va alors, personne n'accède physiquement à ma machine, mon disque est chiffré avec un mot de passe différent et je ne clique jamais sur les liens d'un mail ni ne télécharge n'importe quoi. La probabilité pour que je sois infecté est donc minime.
Mais c'est bien joué pour inciter les gens à migrer vers Yosemite et gonfler le torse après en se vantant de l'adoption "massive" de Yosemite :-)
De plus en plus remonté contre Apple et ses méthodes... Voyons quand je vais dire STOP !
On en voit plein de types comme toi qui menacent de dire STOP depuis des années pour des raisons diverses et variées (ou alors simplement histoire de râler). Et ils sont toujours là à menacer, années après années. Faut croire que "Apple et ses méthodes" n'est pas un argument très convaincant.
Mauvaise nouvelle et belle tentative !
Mais je refuse toujours de passer sur OS 10.10, quitte à avoir le dock "flat" je préférerai retourner sur Tiger. :)
Si seulement la 10.10.3 ne provoquait pas un Kernel Panic, je l'installerais, mais ce n'est pas le cas ;-)
"10.10.2 et précédents" ???
10.10.3 est la mise à jour de sécurité des versions antérieures de Yosemite (10.10.0, 10.10.1 et 10.10.2) qui n'ont plus lieu d'être.
"Mavericks et Mountain Lion", ça suffisait pour une bonne compréhension de la situation. Ou comme l'indique le développeur :
"OS X 10.9.x and older remain vulnerable, since Apple decided not to patch these versions."
En fait, si : il y a eu une mise à jour de sécurité pour Mavericks cette semaine (mise en place sur mon Mac Mini hier et sur l'iMac aujourd'hui).
Oui, mais elle ne corrige pas cette faille.
Et on se permet critiquer Microsoft lol
Apple continue de deployer des updates safari et laisse volontairement des failles derriere elles.
Quelle bavure
Juste ! Voila 2 ans environs que je suis passé du monde windows à OS ce que je ne regrette absolument pas, mais pour "défendre" windows, eux les bugs de sécurités ils corrigaient assez rapidement même sur XP après presque 10 ans de vie. Alors je suis très surpris d'apprendre que même pas après 2 ans de OS (Mavericks dans mon cas) Apple n'ont pas l'intention de corriger ce bug assez grave d'après la presse. Ce qui à mon avis OS 10.9.5 est encore très répandu. Alors le sérieux de mac doit-il être remis en question ?? Je pose la question ?
Voir mon commentaire au dessus.
Tu commences a comprendre...
On ne peut plus dire dorénavant qu'OS X est l'OS le plus sécurisé. Apple laisse derrière lui tout ceux qui ont une machine de plus de 2 ans et qui refusent d'installer la dernière des dernières versions de son OS (machine trop ralentie grace à l'obsolesance programmée ou utilisateur transformé en Béta-testeur d'Apple avec ses bugs non corrigés).
les énervés du bulbe sont toujours là..... restez zen ! et si la machine est ralentie, passez au SSD ou bien d'abord passez un coup d'AdwareMedic, les malwares font beaucoup plus de dégâts que les quelques bugs de Yosemite..
Dans la mesure où tous les Mac supportés par Mavericks le sont aussi par Yosemite, Apple considère que mettre à jour ce dernier est suffisant. C'est pas plus compliqué.
Le problème est que tout le monde ne tournait pas encore sous 10.9..!! Et ce pour diverses raisons, tout à fait respectables ou simplement incontournables. Donc la question ici reste ouverte.
En résumé, c'est comme si Airbus sortait un systeme de gestion de pilotage à l'ergonomie différente.
Et alors que tous les utilisateurs ne s'y convertissent pas, parce que simplement pas convaincus par ma nouvelle "ergonomie", Airbus décide de ne corriger une faille que sur le nouvel opus, partant du principe que tous les avions supportés par l'ancien systeme de gestion le sont par le nouveau....
C'est pas plus compliqué quoi !
Pages