Après dyld, découverte d'une nouvelle faille d'élévation des privilèges dans OS X Yosemite

Mickaël Bazoge |

OS X 10.10.5 a été l’occasion pour Apple de boucher de multiples failles dans le système d’exploitation, et notamment la vulnérabilité dyld qui commençait à être exploitée par des malandrins pour installer des adwares dans les Mac infectés (lire : OS X 10.10.5 est disponible et corrige de très nombreuses failles). Mais les ingénieurs d’Apple n’ont pas le temps de se reposer sur leurs lauriers, puisqu’une nouvelle faille de type élévation des privilèges a été repérée par un développeur italien, Luca Todesco.

Cliquer pour agrandir

À l’instar de dyld (qui était du même type), cette nouvelle vulnérabilité baptisée tpwn touche toutes les versions d’OS X Yosemite, y compris 10.10.5, mais pas El Capitan dont les mécanismes de sécurité ont été renforcés (lire : System Integrity Protection et chiffrement : comment Apple a bétonné OS X El Capitan) ; le développeur assure toutefois qu’il est « faux » de dire que les fonctions d’El Capitan protègent l’OS de la faille. Quoi qu’il en soit, en attendant d’avoir l’heure juste, celle-ci permet à un pirate de prendre le contrôle d’un Mac sans avoir besoin du mot de passe administrateur.

Le développeur n’a pas pris la peine de prévenir Apple avant de dévoiler sa découverte hier, ce qui va permettre à quiconque de mal intentionné de l’exploiter pour piéger des ordinateurs Apple.

avatar bunam | 

Le petit con ! ;(

avatar C1rc3@0rc | 

J'imagine que cela s'adresse a Luca Todesco. Je ne vois pas pourquoi?

Yosemite c'est le Vista d'Apple, c'est bouree de backdoor dans tous les sens, c'est lent, c'est mal realisé, ca rajoute des bugs sur des modules qui n'auraient jamais du etre modifies depuis des annees, et c'est moche, tres moche!

La il y a une nouvelle backdoor qui vit d'etre revelee. Ce truc ca peut pas etre un bug parce qu'un pointeur nul qui permet de faire une escalade de privilege c'est certainement la chose qui est la premiere cible des phases de verification de code et il y a des outils puissants qui permettent de les traquer. Donc encore une commande de la NSA pour acceder aux machines.
On a donc une preuve de plus qu'une faille NSA c'est exploitable par n'importe qui! Donc les "responsables" politiques et administratifs qui reclament des backdoor dans les systemes de cryptage, sont soit des incompetents notoires, soit des filous, soit des personnes qui n'ont aucune consideration pour les interets du peuple (et des entreprises)...

Mais ca va continuer a pleuvoir pour Yosemite.
Quant aux lanceurs d'alertes comme Luca Todesco ils ont interet a faire connaitre ces failles au plus vite, parce qu'Apple va tres tres vite tuer Yosemite.

Sinon pour Windows voici le moyen d'obtnir en moins de 20s les droits d'administrateur d'une machine en pasant par le reseau :http://blog.gojhonny.com/2015/08/domain-administrator-in-17-seconds.html

avatar Hideyasu | 

"Le développeur n’a pas pris la peine de prévenir Apple avant de dévoiler sa découverte hier, ce qui va permettre à quiconque de mal intentionné de l’exploiter pour piéger des ordinateurs Apple."

Très intelligent ça ...

avatar Andromadeus | 

Non c'est même très bien joué de sa part. D'habitude les devs qui découvrent une faille prévient Apple à l'avance et ensuite du côté d'Apple ça met des lustres à appliquer un correctif. Là pour le coup il envoi ce qui est, peut être que ça permettra au ingénieurs d'Apple (s'ils en ont) de se bouger le cul.

avatar noooty | 

@Andromadeus :
C'est surtout parce qu'il imaginait une forte prime pour sa découverte...

avatar Andromadeus | 

J'en sais rien, je suis pas dans sa tête et je m'en fous.

avatar Moonwalker | 

T'es surtout aussi branque que lui.

Les gens pénalisés par son comportement sont les utilisateurs les moins avertis et pas Apple.

avatar marc_os | 

C'est juste de l'incitation au crime.
J'espère qu'il sera inquiété par la justice.
Il est en Italie, donc en Europe.
C'est donc aussi un bon test pour « notre justice », ici, chez nous.

avatar bunam | 

Tout ça pour avoir son quart d'heure de gloire tout de suite...

avatar broc_058 | 

L exécution du code a été effectué le 28/5. Donc fonctionne t il encore ?

avatar jipeca | 

Ben je ne suis pas tout à fait du même avis. Pourquoi ?
Simplement, parce que chaque fois qu'on les prévient, Apple réagit en minimisant le problème et en rassurant les aficionados avec toujours leur petit air suffisant habituel.
Résultat des courses, les fanboys prennent ça par dessous la jambe et continuent à chanter sur tous les toits et sur l'air des lampions que les os d'apple sont surs. Que dis-je, les plus surs ! Ben tiens !
Il faudrait quelques semonces du genre de celle-ci pour que la pomme réagisse autrement qu'avec sa morgue habituelle.
Et qu'on se rende enfin compte de ce q'apporte la consanguinité de OSX et iOS.

avatar r0m135 | 

D'ailleurs a ce propos os x est il sur ? ( besoin d'un anti virus ) j'entends souvent que maintenant c'est même le moins sur comparé à Windows et autres !

avatar Jeff Tremblay | 

@r0m135 :
Faut faire la part des choses. On peut affirmer à tout vent n'importe. OS X, n'est pas étanche à tout; mais reste tout de même plus sure que ses compétiteurs. Faut pas se mettre la tête dans le sable face aux risques; mais faut pas non plus devenir parano. Il y a juste certaines habitudes sécuritaires à adopter pour éviter les problèmes.

avatar RoboisDesBins (non vérifié) | 

@Jeff Tremblay
Ouais enfin il peut sembler plus sûr tout simplement parce qu'il représente quelques pourcentages de part de marché, comparés aux 90 % de Windows. C'est sûr que si j'étais un "canaillou" ou un "malendrin" pour pasticher Mickaël, je choisirais Windows pour cible car vu le nombre de PC sous Windows dans le monde, mon "travail" serait plus rentable, that's all.
Que les parts de marché d'Apple grimpent et le rideau va se déchirer....

avatar Stéphane Moussie | 

Test

avatar Shadow (non vérifié) | 

Autant j'apprécie les efforts de MacG quant à la rédaction, orthographe, etc, autant je n'en peux plus de l'utilisation du mot « malandrin » à toutes les sauces...

avatar Shralldam | 

C'est dans les gènes de la culture française. Il faut toujours avoir marre d'au moins quelque chose.

avatar Sic transit | 

Pas sur que "se reposer sur ses lauriers" soit ici l'expression la plus appropriée…

avatar John McClane | 

Trop fort l'insecte en photo!

avatar Fanagame | 

@Shadow complètement d'accord, c'est comme "butineur" (navigateur), "gazouillis" (tweet) ou "déplomber" (jailbreak), ça me hérisse le poil de lire ces termes !

avatar blablablapple | 

Malandrins c'était en rapport à un Joke sur un article s'il y a 2/3 semaines je crois.

Perso ça me fait sourire, parce que ça me parle.

Vous voulez retourner sur coquinou?

Sinon sur ma toquante, c'est encore l'heure des vacances. Aller on se détent et on oublie d'être français pendant encore 15 jours

avatar blablablapple | 

Y a sacripant ou malotru sinon a switcher dans vos têtes ;)

avatar RoboisDesBins (non vérifié) | 

@blablablapple
Oui ou "moule à gaufres" aussi :-)

avatar Dreamoiseau | 

Dire qu'il y en a qui osent prétendre qu'Android est une passoire en terme de sécurité alors que certaines versions comblent déjà la double faille de Stagefright et qu'en face Apple accumule les failles dans son OS principal...

Je pouffe.

avatar MightyMac | 

Pourquoi le titre de l'article n'est-il pas "Encore une énième faille de sécurité sous OSX" comme cela est s'ouvre le cas quand cela concerne Flash ou Windows ou Android ?

Pages

CONNEXION UTILISATEUR