Ouvrir le menu principal

MacGeneration

Recherche

Une grosse faille de sécurité corrigée dans 10.10.3 mais pas les versions antérieures

Stéphane Moussie

vendredi 10 avril 2015 à 14:01 • 56

macOS

OS X 10.10.3, sorti cette semaine, comble une grosse faille de sécurité (CVE-2015-1130) baptisée rootpipe. Ce correctif n'est en revanche pas proposé pour les versions antérieures du système (10.10.2 et précédent).

Rootpipe avait été annoncé en novembre dernier par le chercheur en sécurité Emil Kvarnhammar. À l'époque, le chercheur n'avait dévoilé publiquement aucune information technique pour éviter une exploitation. Il expliquait juste que rootpipe permettait d'avoir un accès root (tous les droits sur la machine) sans le mot de passe administrateur normalement nécessaire. Il avait convenu avec Apple, informée de la faille, qu'il en dirait plus sur sa découverte après la sortie du correctif.

À la suite de la parution de 10.10.3, Emil Kvarnhammar a donc publié sur son blog tous les détails sur rootpipe. Il s'agit grosso modo d'une API secrète qui permet à un utilisateur (administrateur ou simplement standard) d'obtenir un accès root. Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple.

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieur », écrit le chercheur en sécurité qui « [recommande] à tous les utilisateurs d'OS X de passer sur 10.10.3. »

Emil Kvarnhammar va présenter rootpipe lors de la Security Conference 2015, le 28 mai à Stockholm.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Des aspirateurs robots qui s’intègrent à Apple Maison en promo pour le Prime Day

09/07/2025 à 21:48

• 7


Un cabinet d’analystes souhaite pousser Tim Cook vers la sortie

09/07/2025 à 21:45

• 84


Les offres du Prime Day à ne pas rater : AirPods Pro 2, serrures connectées, iPhone 16e…

09/07/2025 à 21:19

• 20


Prime Day : nouveaux prix record sur les MacBook Air et Mac mini M4

09/07/2025 à 21:10

• 1


Test de la BeeStation Plus : le NAS pour ceux qui ne veulent pas de NAS

09/07/2025 à 20:30

• 2


Prime Day : Microsoft 365 à prix cassé, le bon moment pour renouveler son abonnement

09/07/2025 à 19:28

• 14


Presto pourrait aussi mettre à jour les Mac sans ouvrir la boîte

09/07/2025 à 19:01

• 35


Prime Day : des promos sur les boitiers USB4, une alternative aux SSD externes clés en main

09/07/2025 à 16:17

• 3


Prime Day : l’excellent SSD externe Corsair USB4 de 1 To à 99 €, son prix le plus bas

09/07/2025 à 15:38

• 5


GlobalFoundries, un fondeur, achète MIPS (star déchue des processeurs) pour ses puces RISC-V

09/07/2025 à 15:15

• 9


Photoshop et le Creative Cloud deviennent plus accessibles pendant le Prime Day

09/07/2025 à 14:53

• 5


FileMaker Pro 2025 : une licence unifiée et toujours plus d'IA

09/07/2025 à 14:22

• 5


Un ingénieur d'Apple a failli se faire virer à cause d'un Easter Egg

09/07/2025 à 13:08

• 17


Starlink propose une alimentation AC/DC pour ses antennes

09/07/2025 à 12:30

• 21


Prime Day : l’Apple Watch Series 10 à son prix le plus bas et avec beaucoup de choix

09/07/2025 à 12:19

• 16


Prime Day : le bon tapis de bureau Logitech à 5,32 € seulement

09/07/2025 à 09:51

• 16