Ouvrir le menu principal

MacGeneration

Recherche

Une grosse faille de sécurité corrigée dans 10.10.3 mais pas les versions antérieures

Stéphane Moussie

vendredi 10 avril 2015 à 14:01 • 56

macOS

OS X 10.10.3, sorti cette semaine, comble une grosse faille de sécurité (CVE-2015-1130) baptisée rootpipe. Ce correctif n'est en revanche pas proposé pour les versions antérieures du système (10.10.2 et précédent).

Rootpipe avait été annoncé en novembre dernier par le chercheur en sécurité Emil Kvarnhammar. À l'époque, le chercheur n'avait dévoilé publiquement aucune information technique pour éviter une exploitation. Il expliquait juste que rootpipe permettait d'avoir un accès root (tous les droits sur la machine) sans le mot de passe administrateur normalement nécessaire. Il avait convenu avec Apple, informée de la faille, qu'il en dirait plus sur sa découverte après la sortie du correctif.

À la suite de la parution de 10.10.3, Emil Kvarnhammar a donc publié sur son blog tous les détails sur rootpipe. Il s'agit grosso modo d'une API secrète qui permet à un utilisateur (administrateur ou simplement standard) d'obtenir un accès root. Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple.

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieur », écrit le chercheur en sécurité qui « [recommande] à tous les utilisateurs d'OS X de passer sur 10.10.3. »

Emil Kvarnhammar va présenter rootpipe lors de la Security Conference 2015, le 28 mai à Stockholm.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Comment regarder les chaînes de télé sur l’Apple TV : toutes les apps et offres disponibles

31/08/2025 à 18:41

• 64


Ces articles du Club iGen passent en accès libre : découvrez nos contenus premium

31/08/2025 à 11:58

• 3


Le grand tapis de souris de Logitech en promo à 8 €

31/08/2025 à 08:34

• 0


« Digital detox » : le bilan de mes vacances (presque) sans iPhone

31/08/2025 à 08:00

• 30


Panne majeure en cours sur les moyens de paiement de nombreuses banques françaises

30/08/2025 à 20:17

• 93


« Le premier iPad protégé contre les liquides » : la déclaration d’Apple qui intrigue

30/08/2025 à 10:24

• 15


L’appel à la grève de la CB (et d’Apple Pay), un risque majeur pour les banques ?

30/08/2025 à 08:06

• 178


iOS 18.6.2 bouche une faille zéro day utilisant WhatsApp pour piéger les utilisateurs

30/08/2025 à 08:04

• 8


À contre-courant : pourquoi Florian n’abandonne pas WhatsApp

30/08/2025 à 08:00

• 78


Gemini lance un mode incognito, pour des conversations jetables

29/08/2025 à 21:00

• 12


my kSuite : une alternative gratuite, souveraine et suisse à Google et Microsoft (et à -80 % si besoin de plus) 📍

29/08/2025 à 20:07

• 0


Agenda, Path Finder, Unite… De bonnes apps Mac à prix cassé

29/08/2025 à 17:05

• 11


Fibre Power S : SFR baisse son offre triple-play à 26,99 €/mois

29/08/2025 à 16:22

• 15


Lenovo cogite sur un portable à écran paysage et portrait

29/08/2025 à 15:49

• 17


MacBook Air M4 en promo à partir de 949 € et 90 € en bons d'achat

29/08/2025 à 14:43

• 6


Guide d'achat : quels accessoires pour accompagner son nouvel iPad à la rentrée

29/08/2025 à 14:42

• 16