Ouvrir le menu principal

MacGeneration

Recherche

Une faille de sécurité dans Yosemite donne accès au Mac

Mickaël Bazoge

jeudi 23 juillet 2015 à 08:42 • 24

macOS

Le chercheur en sécurité Stefan Esser a mis le doigt sur une nouvelle faille de sécurité touchant OS X Yosemite. Exploitée comme il convient, elle donne aux malandrins un accès root au Mac, autorisant ainsi toutes les fantaisies les plus dangereuses, notamment l’injection de fichiers infectés et autres joyeusetés. Le bug d’élévation des privilèges, par lequel un utilisateur obtient des privilèges plus élevés que ceux dont il a accès habituellement, permet de contourner les protections mises en place dans le système d’exploitation.

En cause, le dynamic linker d’OS X 10.10, un composant logiciel qui charge et lie entre elles les bibliothèques partagées indispensables au bon fonctionnement d’un logiciel. Sur OS X (comme sur iOS d’ailleurs), il s’agit d’une pièce très importante du système car elle est très souvent sollicitée. Apple a ajouté à cet élément, baptisé dyld, de nouvelles fonctions avec Yosemite ; or, la faille se niche dans ces fonctions, au travers du nouveau système de journalisation des erreurs. L’exploit mis au point par le chercheur nécessite un accès local au Mac.

Toutefois, « c’est évidemment un problème », raconte Esser, « parce que cela autorise la création ou l’ouverture de n’importe quel fichier dans le dossier système ». La faille est présente dans la version actuelle de Yosemite (10.10.4) ainsi que dans les beta d’OS X 10.10.5. En revanche, la préversion actuelle d’El Capitan n’est pas touchée par le problème : il y a fort à parier que les ingénieurs d’Apple étaient déjà au courant de la vulnérabilité ; ils ont d’ailleurs pris connaissance du billet d’Esser. Il est probable qu’une prochaine mise à jour de Yosemite vienne boucher la faille.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Bien après macOS, Windows 11 va prendre en charge le MIDI 2.0

06/02/2025 à 21:30

• 6


Test du dock USB4 de Razer : 14 prises et une ergonomie excellente

06/02/2025 à 20:30

• 4


Bouygues Telecom rembourse un an de fibre à 2 Gb/s pour fêter la fin de l'ADSL

06/02/2025 à 17:15

• 8


Apple vend le SSD des Mac mini M4 Pro à la pièce… mais les prix sont bien trop élevés

06/02/2025 à 15:45

• 38


Promo : MacBook Air M3 avec 16/512 Go à seulement 1 209 € (-320 €)

06/02/2025 à 14:18

• 34


Google abandonne ses objectifs de recrutement axés sur la diversité

06/02/2025 à 13:30

• 156


Orange ajuste le prix de son offre satellite

06/02/2025 à 12:30

• 19


Apple insiste pour aider Google dans son procès, mais la procédure va se poursuivre 🆕

06/02/2025 à 11:58

• 13


Free augmente les frais de résiliation pour ses box Internet

06/02/2025 à 11:15

• 44


La fibre Sosh passe enfin à 1 Gbit/s, et sans changement de prix

06/02/2025 à 10:15

• 76


Raycast gère à son tour l’Hyper Key et peut ainsi remplacer un utilitaire de plus

06/02/2025 à 08:04

• 9


Prise en main d'Apple Invitations : carton en vue pour cette nouvelle app ?

05/02/2025 à 22:01

• 32


OpenAI affronte directement Google en ouvrant ChatGPT Search à tous

05/02/2025 à 22:00

• 80


Les pièces et outils pour réparer les Mac M4 déjà disponibles sur le site self-repair d'Apple 🆕

05/02/2025 à 20:15

• 11


Dailymotion va supprimer les vidéos que personne n'a regardées l'année dernière

05/02/2025 à 18:00

• 27


L'Apple M5 serait en production

05/02/2025 à 16:30

• 46