Faille dyld : Apple livrera un correctif avec OS X 10.10.5

Mickaël Bazoge |

Le Guardian a eu vent de la volonté d’Apple de s’atteler à la sécurité d’OS X. Le constructeur va intégrer à la version finale d’OS X 10.10.5 un correctif pour boucher la faille dyld repérée fin juillet par le chercheur en sécurité Stefan Esser, et qui est déjà exploitée pour installer des adwares à l’insu de l’utilisateur (lire : Faille dyld : pas besoin de mot de passe pour installer des malwares).

La vulnérabilité n’existe pas dans OS X El Capitan, signe que les ingénieurs d’Apple la connaissaient, sans la corriger sous Yosemite. Au vu de la publicité faite autour de ce problème, il devenait effectivement urgent d’apporter une réponse rapide et ne pas attendre cet automne la version finale d’OS X 10.11. On ignore si les versions précédentes de Yosemite (la 10.10.4, notamment) aura droit à cette mise à jour de sécurité.

Quant à la faille Thunderstrike 2 qui fait les choux gras de la presse à sensation ces derniers jours, elle est déjà patchée en partie. Le chercheur Rich Mogull nous a en effet indiqué hier qu’OS X 10.10.4 « cassait le vecteur d'infection par le web », il précise même au quotidien anglais que « presque tout le monde peut ignorer complètement Thunderstrike 2 ».


avatar Fanagame | 

C'est pas pour prendre la défense d'Apple, mais le fait que la faille ne fonctionne pas sous OSX El Capitan n'est pas forcément signe que Apple connaissait la faille. El Capitan change pas mal de choses niveau sécurité de l'OS (je pense à leur "technologie" rootless).
Peut-être tout simplement que la faille exploitée n'existait plus car ils ont réécrit la partie software concernée !

Peut être qu'ils étaient vraiment au courant aussi, c'est possible. Mais bon rien ne permet de le conclure je trouve.

avatar C1rc3@0rc | 

+1

La faille est plus un probleme de conception que de realisation, et effectivement 10.11 est un gros changement dans la conception.
Mais Apple etait au courant de la faille puisque les découvreurs des faiblesses de l'architecture ont averti Apple avant de rendre publique son existence. La faile de Esser n'est qu'un avatar de plus de ce probleme d'architecture (et Esser c'est pas casse la tete pour le trouver...).Vu la date d'ailleurs il est clair que les changements dans 10.11 ont ete anterieurs a la decouverte du probleme de l'architecture...

Maintenant il va falloir voir l'efficacite du patch en question car a mon avis il bloque un vecteur d'attaque, mais ne peut pas combler le probleme d'architecture (ou alors ils sont vraiment tres forts chez Apple). Donc il est possible que l'on voit de nouveaux exploits apparaitre qui s'appuiront sur le meme probleme d'architecture mais en passant par un autre chemin. Mais bon d'ici la Apple aura probablement rendu public 10.11...

De toute facon, 10.10 est une calamité sans nom, autant en terme de d'architecture logicielle que d'ergonomie ou d'esthetique. On voit que Frederghi a su redresser la barre au niveau architecture, reste le probleme de l'ergonomie et de l'esthetique, mais la c'est Ive le probleme...

avatar Moonwalker | 

Si la faille est exploitée aujourd'hui c'est surtout parce que Stefan Esser en a publié le processus en détail sans jamais en faire part à Apple.

Comme Fanagame, je trouve que vous avez des conclusions bien hâtives sur ce qu'Apple sait ou pas et sur ce qu'elle avait l'intention de faire.

Par contre, le comportement irresponsable de ce "chercheur" contraire à toute éthique n'a pas l'air de vous déranger plus que lui.

avatar Mickaël Bazoge | 
Esser est une pointure dans le monde de la sécurité, ce n'est pas le premier hacker venu tout de même.
avatar Moonwalker | 

Son expertise n'est pas la question. Pointure ou pas, son comportement est inadmissible. Je dirais même d'autant plus.

Une notion : la responsabilité.

Ce qu'il a fait est contraire à toute éthique des hackers.

Or, Stefan Esser a montré par ses propos qu'il n'en avait strictement rien à foutre.

Je ne critique pas pour Apple, je pense avant tout aux utilisateurs les moins avertis qui seront les premières victimes de MacKeeper et allii.

Un correctif de sécurité ça ne se sort pas du chapeau. Ça passe par des processus de validation. Si on ne laisse pas le temps aux développeurs de le préparer se sont les utilisateurs qui trinquent.

Esser prend les utilisateurs OS X en otage de ses récriminations contre Apple.

avatar sangoke | 

Apple était au courant de la faille depuis largement plus de 90 jours (délais imparti par le Project zero de Google) et n'a jamais déniée répondre donc à partir de ce moment là il peut la rendre publique, ne pas les avoir prévenu aurait été une faute éthique, si l'entreprise réponds qu'elle a bien pris note et qu'ils travaillent sur un correctif, il ne l'aurait certainement pas dévoilée, il travaille pour une société de sécurité il ne se serait pas grillé comme ça

avatar Moonwalker | 

Et pourtant si

Esser n'a pas prévenu Apple. Il l'a même revendiqué.

"And despite releasing the details of this latest OS X security hole without informing Apple beforehand, Esser seems to have no regrets."

http://www.intego.com/mac-security-blog/yosemite-zero-day/

Après, pour se couvrir, il prétend que puisque El Capitan n'est pas vulnérable à cette faille, c'est signe qu'Apple est au courant. Mais c'est du flan. Les mécanismes de sécurité d'El Capitan n'ont rien à voir avec ceux de Yosemite et ça suffit à expliquer la différence de comportement entre les deux OS X.

Et encore une fois, ce n'est pas Apple qui est ennuyée mais les utilisateurs les plus vulnérables.

avatar 0MiguelAnge0 | 

@Moonwalker

Ce que je trouve inadmissible c'est qu'avec sa montagne de cash ils ne puissent pas se payer une armée de hackeur pour sécuriser leur bordel.
Et je lis souvent que les chercheurs en despoire de cause sont obligés de publier leur découvertes aussi car ils ne voyent pas Apple lever le petit doigt depuis des mois...
S'il ne l'avait pas publié, ils se seraient battus l'oeil sur Yosemite.
En attendant évite les sites louches et tu arriveras à survivre...

avatar Domsware | 

@0MiguelAnge0 :
Vécu : un but gênant dans un logiciel aéronautique. Estimation : un an de boulot pour la corriger et repasser les validations.

avatar Moonwalker | 

Ce n'est pas moi qui vais me faire avoir par ce truc, je suis un utilisateur bien averti. Hélas, je ne suis pas représentatif des gens qui viennent sur le forum et qui ramassent des adwares sur les sites de téléchargement comme Softonic, CNet Download ou même SourceForge. Je sais que uTorrent et MPlayerX sont des vecteurs de adwares.

Ce sont ces gens là, les plus faibles, qui seront les victimes du comportement de Esser.

Imagine : Tu sors de ta maison et tu pars en vacance. Quelques minutes après, un défaut, ta porte s'ouvre. Ton voisin s'en aperçoit. Au lieu de te téléphoner pour te prévenir (il a tes coordonnées), il placarde des affichettes dans toute la ville et sur internet pour signaler que c'est journée porte ouverte à ton adresse. Sympathique ?

Voilà ce qu'a fait Esser. Et la maison, ce n'est pas celle d'Apple mais la nôtre. Compris ?

avatar malcolmZ07 | 

je suis esser sur twitter , il a quand même un caractère particulier le garçon ... Rien avoir avec geohot qui était un gamin qui a fait plus de mal que de bien à la communauté.
Après, pour répondre à 0MiguelAnge0 , ce n'est pas si simple de boucher une faille. Ca peut entrainer des instabilités dans le système et puis je ne suis pas certains qu'il bosse uniquement sur une seule chose à la fois. S'il recrutait esser et les autres, il y aurait quand même des failles dans le système.

avatar rmosca | 

le sérieux de la boîte...

avatar Mr. THZ | 

J'adore ... Utiliser une punaise pour illustrer l'article xD

avatar MixUnix | 

On demande seulement a la Firme Apple, les rois de tout, de dépenser un peu plus de leur montagne de brouzoufs, pour assurer un niveau de sécurité correct à leurs produits.
Ils sont chers, qu'ils justifient enfin leur prix.
Pour la qualité de leur produits...enfin, ce qu'on en dit...

avatar 0MiguelAnge0 | 

@MixUnix

Sans vouloir la perfection, il y aurait moyen pour eux d'avoir une task force prête pour ce genre de problème. Avec 200M$ en banque, il y a moyen.
On parle pas d'un avion comme j'ai pu lire là-haut.
Et PERSONNE ne leur a demandé de sortir des OS tous les ans, instables et à moitier finis...

avatar sabearts | 

"Le chercheur Rich Mogull "

Waow, la chance d'avoir ce nom oO

CONNEXION UTILISATEUR