Ouvrir le menu principal

MacGeneration

Recherche

Une grosse faille de sécurité corrigée dans 10.10.3 mais pas les versions antérieures

Stéphane Moussie

vendredi 10 avril 2015 à 14:01 • 56

macOS

OS X 10.10.3, sorti cette semaine, comble une grosse faille de sécurité (CVE-2015-1130) baptisée rootpipe. Ce correctif n'est en revanche pas proposé pour les versions antérieures du système (10.10.2 et précédent).

Rootpipe avait été annoncé en novembre dernier par le chercheur en sécurité Emil Kvarnhammar. À l'époque, le chercheur n'avait dévoilé publiquement aucune information technique pour éviter une exploitation. Il expliquait juste que rootpipe permettait d'avoir un accès root (tous les droits sur la machine) sans le mot de passe administrateur normalement nécessaire. Il avait convenu avec Apple, informée de la faille, qu'il en dirait plus sur sa découverte après la sortie du correctif.

À la suite de la parution de 10.10.3, Emil Kvarnhammar a donc publié sur son blog tous les détails sur rootpipe. Il s'agit grosso modo d'une API secrète qui permet à un utilisateur (administrateur ou simplement standard) d'obtenir un accès root. Pour exploiter la faille, le malandrin doit avoir un accès physique à la machine ou bien un accès distant à l'aide d'un cheval de Troie, par exemple.

« Apple a indiqué que le problème demandait des changements significatifs, et qu'ils n'introduiraient pas le correctif sur 10.9.x et antérieur », écrit le chercheur en sécurité qui « [recommande] à tous les utilisateurs d'OS X de passer sur 10.10.3. »

Emil Kvarnhammar va présenter rootpipe lors de la Security Conference 2015, le 28 mai à Stockholm.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Le nouveau bracelet Sport Pride Edition en photos

10/05/2025 à 18:57

• 30


L’arnaque Doctolib le prouve : il est urgent de reprendre le contrôle sur vos données 📍

10/05/2025 à 13:07

• 0


À la découverte de Raycast, le puissant lanceur multifonctions pour le Mac

10/05/2025 à 11:00

• 10


MacBook Air M4 : la chute des prix se poursuit encore sur ce nouvel incontournable 🆕

10/05/2025 à 09:38

• 80


Sortie de veille : plus de modèles, plus de lancements… l'iPhone serait au cœur d'une stratégie choc

10/05/2025 à 08:00

• 1


Promo sur des batteries externes de forte capacité pour Mac, iPhone ou iPad

09/05/2025 à 23:44

• 2


L’Apple Store en Lego, bientôt disponible ?

09/05/2025 à 20:45

• 28


Un PowerBook G4 modifié pour charger en USB-C

09/05/2025 à 17:56

• 11


HoudahGeo 7 fait du géo-tagging sur les vidéos

09/05/2025 à 16:31

• 8


Razer Synapse 4 est en bêta sur les Mac Apple Silicon pour les claviers et souris Razer

09/05/2025 à 15:30

• 5


Calendrier, chaînes d'assemblage, IA… ces startups qu'Apple a récemment achetées pour améliorer ses produits

09/05/2025 à 12:15

• 7


Hirokazu Kore-eda détaille comment il a tourné son dernier film avec des iPhone 16 Pro

09/05/2025 à 12:00

• 13


macFUSE 5 tire parti de FSKit pour faciliter l’ajout de systèmes de fichiers à macOS

09/05/2025 à 09:34

• 30


Promo : l'Atari 2600 Plus à 90 € (-30 €) avec 10 jeux et un joystick

09/05/2025 à 08:24

• 4


Du M5 aux processeurs d'IA pour serveurs, Apple a du pain sur la planche

09/05/2025 à 06:51

• 26


La production des SoC des lunettes connectées d’Apple lancée fin 2027

08/05/2025 à 21:54

• 34