macOS 10.13 : une mise à jour pour la faille de sécurité APFS
Apple livre ce soir une mise à jour "supplemental" pour macOS 10.13 qui corrige la grosse faille de sécurité apparue ce matin qui révèle le mot de passe des volumes APFS. Jusqu'à présent, High Sierra affichait non pas l'indice du mot de passe, mais… le mot de passe tout court du volume APFS chiffré !
Dans une note support, Apple demande de mettre à jour le Mac évidemment, puis de sauvegarder les données contenues dans le volume chiffré, de l'effacer et de le reformater en APFS chiffré avec Utilitaire de disque. Et cette fois, le logiciel ne va pas confondre le mot de passe avec son indice.
Cette mise à jour, à récupérer depuis le Mac App Store, apporte également des correctifs concernant un bug de curseur avec InDesign, elle éradique un problème avec les comptes mail Yahoo qui empêchaient la suppression des messages. Et puis elle corrige une autre vulnérabilité qui permettait à un malandrin de récupérer l'identifiant et le mot de passe des comptes stockés dans le trousseau.
Une petite pensée pour le développeur Apple qui a perdu son job aujourd’hui.
Je doute qu'un ingénieur chez Apple fasse la moindre chose sans que quelques uns de ses collègues ne relise ensuite son code :p.
C’est tres dur de tout tester pour des programmes compliqués, meme si tu fais des tests, ils sont rarement exhaustifs et tu peux voir tous les impacts et tous les effets de bords d’une modif...
Moi deja avec 20 scripts python c’est la galere au boulot j’ose meme pas imaginer un système d’exploitation complet...
Ils peuvent pas se permettre de virer ni l'un ni l'autre des deux développeurs qui travaillent sur macOS.
@Ali Ibn Bachir Le Gros
????
Et bien, ils ont été réactifs au moins !
@mat 1696
Moins de 24h, ?
Et combien de beta???
Oui, ok High Sierra est en beta au moins jusqu'a la version 10.13.06...
ceci dit, la ou ils ont fait du bon boulot c'est dans le comblement de la faille du trousseau d'acces, parce que celle-la dans le genre machin critique hyper dangereux et qui ferait bien les affaires d'une agence gouvernementale a 3 lettres, c'est un modele du genre.
Bon, apres cette flambee d'urgence ou le ridicule est tombé comme un elephant sur Apple, il reste plus que 1.04E+5 failles a traiter
@reborn
Mieux que ça! Les correctifs sont datés du 2 octobre... ils ont corrigé le bug avant même qu'il ne soit connu. Trop forts chez Apple!
@r e m y
Ou alors, le Mac sur lequel est validé le correctif a un probleme d'horloge ;)
Ça change!
C'est à dire que...
Nous aurons bien ri.
De mieux en mieux..... ?
C'était juste le mot de passe, un détail...
@Novezan
+1 ???
On peut à nouveau utiliser les clés du trousseau... et de la forêt ?
Pour les gens qui critiquent... allez faire un stage d'observation chez les développeurs pour voir comment ils travaillent. Je ne pense pas que vous fassiez mieux.
@victoireviclaux
Une infirmière fait une boulette: « oui mais voyez comment est leur travail »
Un policier ? « Voyez leurs horaires »
On va pas non plus plaindre toutes les professions a chaque fois qu’il y a une boulette de faite.
C’était une grosse boulette et elle est collective chez Apple car non seulement le développeur mais l’équipe de test est passée à côté.
Le ou les responsables ont probablement assumé leur responsabilité et peut être même qu’il n’y a pas eu de sanction ... ou peut être que oui. Mais c’est la vie, il faut parfois aussi assumer ses responsabilités, on n’est pas au pays des bisounours! Et ça sert de leçon, ça permet d’évoluer.
@totoguile
L'équipe de test? Tu veux dire, nous les testeurs Appleseed (et développeurs) qui faisons ça totalement bénévolement, avec apple qui décline toute responsabilité en cas de dommage à la machine à cause des betas??
Parce que honnêtement, je doûte qu'il y ait une équipe de contrôle dédiée (je pense que les développeurs et quelques employés installent le nouveau système et le test mais pas plus... vu les bugs grossiers de plus en plus nombreux)
@mat 1696
Y à un peu de laisser aller en ce moment, c’est pas faux ...
Et puis faut reconnaître que c’est quand même l’un des bugs les plus risibles d’un gros éditeur de logiciel dans l’histoire de l’informatique...
@totoguile
et je suis même étonné que le mot de passe stocké n’est pas crypté ? Ça doit plus se faire
Il est pas stocké le mot de passe... sauf dans le cas present ou il est enregistré comme indice au moment de la creation... et qui irait chiffrer un indice???
@C1rc3@0rc
Ok merci je vois la boulette maintenant
Justement les boulettes ça arrive on va pas en faire un fromage a dire que apple est descendu en dessous de tout etc. Ils font une boulette, ils corrigent et voila c’est fini... mon dieu...
@adixya
Yep ! C’est à ça que servent les phases alpha et beta privée et publique.
Sauf que ce n’est plus une beta. C’est un système déclaré final, livré à des millions de clients, et un peu forcé au fond de nos gorges également.
Sauf que Apple n’est plus trois développeurs dans un garage. C’est la première entreprise informatique mondiale, qui déclare changer le monde avec son informatique facile et accessible.
Oui, c’est normal qu’il y ait des bugs. C’est inévitable. Mais il y a des patterns récurrentes qui se sont installées chez Apple, de livrer des composants prématurément ou de mettre des mois à corriger les problèmes. Les exemples ne manquent pas ces dernières années. Couplé à l’absence de feuille de route ou de calendrier de support clair, c’est devenu un peu perturbant. Ils s’excusent aussi, ou balancent du bullshit de justifications marketing qui ne tiennent pas deux secondes.
A chacun ses critères et exigences. Pour ma part Apple échoue cette année, assez gravement. Ce n’est pas ce bug en particulier qui me gêne, c’est la qualité globale de ce qui nous est proposé qui n’est plus acceptable. Mes exigences.
La il s'agit pas d'une boulette mais d'une enormité qui a passé tous les niveaux, de la creation au mains du client, et les different controles qualités... tranquillement, sans stress. Et si cela etait un probleme exceptionnel, mais non il s'ajoute a la plethore de bug, dystonctions et autres anormalités qui accompagnent et MacOS 10.13 et iOS 11...
On peut etre fanatique et refuser de voir la realité du monde, mais quand meme y a des limites. Apple a un tres gros probleme, et c'est systémique.
Et sinon le bug de la vérification du firmware durant l’installation sur certaines configurations....
C'est pas un bug c'est une "feature"
On appelle ça aussi un procede d'obsolescence programmée qui s'active un peu trop tot
915Mo! Ça doit contenir un peu plus que la correction du bug du mot de passe.
@kabrice :
Bien vu.?
Que dire si même des pointures laissent passer une telle bourde ? l’erreur est humaine je suppose ...
Est-ce que quelqu'un sait où on en est de la correction du bug qui fait que le trousseau affiche ses mots de passe en clair? Je n'ai rien vu passer comme correctif à ce sujet là...
@Armaniac
C'est pas ce qui est cité en fin d'article:
"puis elle corrige une autre vulnérabilité qui permettait à un malandrin de récupérer l'identifiant et le mot de passe des comptes stockés dans le trousseau."?
Ah exact, my bad, j'avais lu trop vite.
C'est quand même une petite preuve de sérieux, les problèmes ne sont pas (plus?) traités par le mépris. En d'autre temps on aurait sorti un communiqué pour dire que ce n'était pas si grave.
Ah, il y est mentionné « improving the update's installer. »
Je suis le seul à ne pas voir la mise à jour sur le Mac AppStore ?
@chouchoutnt
Votre hdd n’est pas en afps ...
Apple est réactif ! Bravo !
ivador qui félicite Apple : ce jour est à marquer d'une pierre blanche.
@iVador
Le bug était corrigé avant même qu'on en apprenne l'existence (les fichiers inclus dans la nouvelle version de l'installeur de HighSierra sont datés du 2 octobre)... donc Apple y travaillait peut-être depuis plusieurs semaines deja!
@r e m y
"donc Apple y travaillait peut-être depuis plusieurs semaines deja!"
Donc ils ont laissé ce bug sortir en toute connaissance de cause ?
Je ne sais pas ce que je préfère : un tas de bugs graves non détectés avant livraison (précipitée), ou un tas de bugs graves détectés mais livrés quand-même ?
Savaient-ils pour les soucis d’installation et de mise à jour firmware ? J’espère que non ! Enfin, j’espère, holly molly ce que j’en suis réduit à espérer, j’hallucine.
Je crois que je préfère ne pas trop savoir ce qui se passe chez Apple, je doute que ça me plaise et me mette de bonne humeur.
Conclusion de ces livraisons récentes : 0 confiance, attendre plusieurs mois avant d’adopter les dernières révisions.
@fte
Il est évident que lorsqu'une version sort (que ce soit un OS ou une application), il reste des bugs en cours de résolution, la version .1 étant déjà en développement et test pour les corriger au moment de la diffusion de la version .0 (et la version .2 est probablement deja en phase alpha en incluant des correctifs sur des problèmes dont il a été considéré qu'ils pouvaient n'être résolus que quelques semaines pus tard).
Si le developpeur attendait que tous les bugs soient corrigés pour diffuser son produit, il ne le sortirait jamais.
Maintenant, c'est pas faute d'avoir averti de ne pas se précipiter sur HighSierra... mais heureusement qu'il y en a toujours pour essuyer les plâtres.?
@r e m y
"Si le developpeur attendait que tous les bugs soient corrigés pour diffuser son produit, il ne le sortirait jamais."
Certes. Je m’interroge néanmoins sur le processus de classification des bugs acceptables et inacceptables. Il y a clairement des trucs qui sont passés et qui causent quelques troubles majeurs. On parle d’un OS destiné à des millions de clients.
Mais en effet. Nous avions prévenu. ?
Je ne m'attendais pas à avoir à ce point raison cependant.
Hein ?! C’est une blague ?? Sauvegarder, supprimer, reformater pour régler le problème ? Elle est très loin de régler tous les problèmes cette maj ! Merci bien qd c le volume principal, un vrai bonheur. Quelle merde
@zarkossil :
Sauf que ça ne concerne pas le volume de démarrage pas cryptable de cette manière (si j'ai bien lu les brèves précédentes à ce sujet).
Bien fait d’attendre avant d’installer High Sierra, il est à mon avis plus sage d’attendre la 10.13.1 ou .2.
@Rom 1
En effet on attend la 12....
Pages