Apple travaille sur les failles de sécurité "XARA" d'OS X et iOS

Florian Innocente |

Apple a commencé à régler quelques-uns des problèmes de sécurité mis en lumière en début de semaine et rassemblés sous le terme de XARA (pour Cross-app Ressource Access Attacks). La Pomme a adressé un commentaire à iMore dans lequel elle fait un premier point :

En début de semaine nous avons appliqué une mise à jour de sécurité côté serveur qui sécurise les données des applications et écarte du Mac App Store les applications qui présentent des problèmes de configuration avec le sandboxing. Il y a d'autres correctifs en cours et nous travaillons avec les chercheurs pour analyser le détail de leurs découvertes

Six chercheurs avaient rassemblé dans un document publié lundi une série de failles inédites et complexes qui touchaient principalement OS X et dans une moindre mesure iOS. Ils avaient entre autres réussi à faire valider sur le Mac App Store et l'App Store un malware capable de faire ensuite la démonstration de leurs autres découvertes (lire Des failles de sécurité majeures au coeur d'OS X et iOS & Pas de solution magique pour 1Password et la dernière faille d'OS X).

Ces chercheurs expliquaient avoir contacté Apple en octobre dernier. La Pomme avait reconnu l'importance de ces problèmes et demandé un délai de confidentialité de six mois sur leurs travaux pour revoir les mécanismes de sécurité dans ses OS. Quelques changements avaient été relevés par ces chercheurs dans les dernières versions 10.10.3 et 10.10.4 bêta d'OS X mais, pour une bonne part, les failles étaient toujours exploitables.

avatar r e m y | 

Et les OS antérieurs à Yosemite? Les failles resteront béantes?

avatar mat 1696 | 

@r e m y :
en tous cas je pense pas pour le mac app store, vu que c'est une mise a jour coté serveur donc pour le mac app store de n'importe quelle version d'os x...

avatar ddrmysti | 

La faille n'est pas encore comblé et apple travail toujours dessus, donc il est trop tôt pour affirmer ce que tu dis, étant donné que même sur yosemite elle n'est pas comblée. De plus ça ne serait pas la première fois qu'apple met à jour ses anciens système pour palier à une faille critique (on a vu ça même sur iOS).

avatar iRobot 5S | 

@r e m y :
Ils descendront sûrement jusqu'à Mountain Lion

avatar Ginger bread | 

je me marre

avatar le ratiocineur masqué | 

"Ces chercheurs expliquaient avoir contacté Apple en octobre dernier."

Novembre, Decembre, Janvier, Fevrier, Mars, Avril, Mai, Juin...

En fait la technique de sécurisation de Apple je me demande si ce n'est pas d'attendre que les OS affectés deviennent obsolètes et cessent donc d'être utilisés.

avatar poco | 

Cà va faire des ventes pour Apple çà si ils ne corrigent pas les OS en deçà de 10.10.x

avatar Mrleblanc101 | 

@poco :
En quoi ça va faire des ventes à Apple ? Yosemite et même El Capitain sont compatible sur les Mac allant jusqu'à 2007

avatar phoenixback | 

Personnellement je vend la faille au fbi et je vis comme un pasha avec mes millions jusqu'a ce que la mort m'en sépare.

avatar ipaforalcus | 

Beaucoup de failles critiques sont présentes dans les versions antérieurs d'OSX, surtout celles concernant le noyau, en effet ils ne vont pas s'amuser à patcher le noyau sur d'anciennes versions, ça demanderai du temps et des ressources et ça pourrai potentiellement causer des instabilités majeures...

avatar Ginger bread | 

@ipaforalcus :
curieux Microsoft n hesite pas à le faire sur ses anciens systémes pendant 5 ans de service.

avatar patrick86 | 

"curieux Microsoft n hesite pas à le faire sur ses anciens systémes pendant 5 ans de service."

Microsoft est prise à son propre piège, d'un immense parc installé, mais qui n'évolue que lentement.

Elle se doit de maintenir des anciennes versions, surtout lorsqu'elles sont encore davantage utilisées que les nouvelles.

avatar lmouillart | 

"Elle se doit de maintenir des anciennes versions, surtout lorsqu'elles sont encore davantage utilisées que les nouvelles."
C'est plutôt l'inverse, les anciennes versions sont utilisées car encore maintenues.
Exception faite de XP où la plupart des gros clients : gouvernements, et entreprises on pris du retard dans leur migration avec un contexte économique mondial difficile.

XP : https://support.microsoft.com/fr-fr/lifecycle?C2=1173
Vista : https://support.microsoft.com/fr-fr/lifecycle?C2=11732
7 : https://support.microsoft.com/fr-fr/lifecycle?C2=14019
8 : https://support.microsoft.com/fr-fr/lifecycle?C2=16796

Le support standard de chaque système est de 5 ans et le support étendu 10 ans.

Chez Redhat on est à peu près sur la même ligne : https://access.redhat.com/support/policy/updates/errata

avatar patrick86 | 

"C'est plutôt l'inverse, les anciennes versions sont utilisées car encore maintenues."

Et comme les versions sont encore maintenues, ça incite moins à migrer…
Bref. Un cercle vicieux. Jusqu'à ce que Microsoft dise "bon, heu… faudrait peut-être laisser tomber XP les enfants… On a un superbe W8 à vous proposer, regardez comme il est génial !" — "Heu…oui oui, il est génial oui. Z'avez pas plutôt du W7 en stock ?"

Microsoft fait son business : vendre du logiciel à des grandes entreprises qui, souvent, évoluent lentement.

avatar Domsware | 

@patrick86 :
J'ai une perception plus dure : Microsoft ne fait aucun choix fort. Aucune ligne directrice, surtout ne pas bouger l'existant quitte à faire le grand écart. Faire plaisir à tout le monde.
Et au final c'est la politique du moindre effort pour les éditeurs.

avatar Ginger bread | 

@patrick86 :
etant donnè que les produits Microsoft sont utilisés par une grande masse de personnes dans le monde, ils assurent le service pr rendre operationnel leur systeme. normal !

avatar patrick86 | 

"etant donnè que les produits Microsoft sont utilisés par une grande masse de personnes dans le monde, ils assurent le service pr rendre operationnel leur systeme. normal !"

Oui, c'est ce que je dis.

Microsoft ne se serait pas emmerdé à maintenir XP aussi longtemps, s'il n'avait pas représenté une part si grande du parc installé.

avatar Moonwalker | 

Une bonne chose.

Je n'espère rien pour Mountain Lion, à peine pour Mavericks, mais il sera un jour temps de migrer tout le monde sur El Capitan.

CONNEXION UTILISATEUR