Apple corrige le bug d'accès root et s'excuse
Apple distribue le correctif de sécurité pour macOS High Sierra destiné à supprimer le bug lié aux droits d'accès root. Ce "Security Update 2017-001" est destiné exclusivement à High Sierra 10.13.1 minimum, Sierra et versions antérieures n'étant pas touchés. Il n'est pas encore proposé aux utilisateurs de la bêta 10.13.2 b5. Aucun redémarrage n'est nécessaire après son application.
Chose rare mais adaptée aux circonstances, le Mac App Store enjoint les utilisateurs à installer cette mise à jour aussitôt que possible.
Dans un communiqué envoyé aux médias américains, Apple s'excuse platement en rappelant que la sécurité est une priorité (c'est la deuxième bourde de cette nature avec High Sierra, lire macOS 10.13 : une mise à jour pour la faille de sécurité APFS).
Elle précise qu'en plus du correctif mis en téléchargement, elle va commencer dans les prochaines heures à modifier automatiquement les macOS High Sierra 10.13.1 des utilisateurs pour appliquer cette mise à jour. De manière à ce que tout le monde en soit pourvu. « Nos clients méritent mieux » poursuit Apple après avoir renouvelé ses excuses, et de conclure : « Nous avons lancé un audit dans nos processus de développement pour éviter que cela se reproduise ».
Security is a top priority for every Apple product, and regrettably we stumbled with this release of macOS.
When our security engineers became aware of the issue Tuesday afternoon, we immediately began working on an update that closes the security hole. This morning, as of 8 a.m., the update is available for download, and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra.
We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.
@Alberto8
Réinstallation du système en démarrant: CMD+R ?
@scanmb
J’ai pratiquement tous essayé oui .
@Alberto8
Et tenter de tout reinstaller par CMD+ALT+R ?
Lorsque les options se présentent:
1/« Formater » en sélectionnant l’utilitaire de disque
2/ Recharger high sierra
3/ Au redémarrage tester
4/ Puis retransferer les anciennes sessions(user) à partir d’une time machine
J’ai fait cela pour voir si mon Mac avait un pb hardware ou soft
@scanmb
Oui ça aussi j’ai fait ?
@Alberto8
Après être aller jusqu’à l’étape 3 (formatage et réinstall à partir de macOS téléchargé du Net et pas d’une sauvegarde en local ) et testé avec une session et un macOS « neuf » ? sans rien retransférer ? ?
@scanmb
Oui j’ai même redémarré en mode sans échec et ça ne marche pas donc je suis obligé d’attendre un correctif d’Apple , j’ai pas le choix ?.
@Alberto8
Il existe une solution infaillible : passez sous Sierra.
@Marco787
J’ai essayé mais la sauvegarde time machine n’est pas compatible avec un retour en arrière ????.
@Alberto8
Apple qui prétend que MacOS est sans faille et sans virus. WTF!
Windows 7 ? Non je ne pense pas, jamais eu de gros problèmes avec ce système.. plutôt Vista non ?
Pas d’update pour la bêta public!
Pareil, on fait comment ? Maintenant en ayant fait la manip pour tester la faille j'ai l'accès root en page d'acceuil de session et il n'apparait pas dans la liste pour le supprimer !
Au fait, est-ce que le pbm du bug avec des ssd tiers est enfin résolu pour le passage à High Sierra ? J'ai qd même l'impression que Apple ne sort que des bêtas logiciels ou matériels depuis quelques mois. Et au vue des prix c'est inacceptable... Qu'il es loin l'époque où la simplicité et la qualité était la norme ?
Je ne comprends vraiment plus le service qualité et sécurité de ces grosses boites.
Cela devient un peu comme le jeu , des sorties à l'arrache.
Peu importe le contenu, le but ; vendre à tout prix à l'heure X.
Il est temps que Cook tire sa révérence.
@rikki finefleur
Pourtant les mises à jour mac os ne sont pas forcément liées à des nouveaux macs contrairement à ios!
Tous ces bugs sont liés au nouveau système de fichiers apparemment faut donc espérer que la prochaine grosse mise à jour se passera mieux
@rikki finefleur
« Il est temps que Cook tire sa révérence. »
C’est ça...
L’équipe a raté un match, changeons de sélectionneur au lieu de régler ce qui a disfonctionné
Ça changerait quoi?
jazz678
Si son but est de lancer un OS chaque année avec un tas de bugs.
C'est oui pour le client
Si son seul souci c'est de balancer des trucs mal finis pour les actionnaires , la c'est autre chose.
Dis moi l’intérêt d'avoir un nouvel os tous les ans. Perso je vois pas.
Et c'est lui le décideur.
@rikki finefleur
Le seul objectif de TC et de Apple, c’est qu’un OS pourri soit lancé chaque année...
Évidemment...quel autre objectif peut-il y avoir?
Soyons sérieux 2 minutes...
D’abord Apple ne lance pas de « nouvel OS » en tant que tel chaque année. Il s’agit souvent de révision (souvent mineure) du précédent.
Ensuite, aucun lancement d’OS ne s’est fait sans son lot de bugs. L’information est simplement plus prégnante de nos jours sous l’impulsion d’internet, des smartphones, des forums et des réseaux sociaux que ça ne l’était il y’a qqs années.
Il n’y a strictement rien de nouveau
TC n’est pas le problème. Les systèmes d’exploitation sont de plus en plus complexes et sophistiqués. Sur des produits de consommation de masses, ça génère forcément des défauts de conception dans les programmes. Les versions beta permettent d’en corriger certains mais pas tous.
On peut reconnaître la réactivité de cette entreprise pour la mise en place de mesures correctives
« Nous avons lancé un audit dans nos processus de développement pour éviter que cela se reproduise »
= y a une équipe de bras cassés qui va bientôt perdre son job...
@storminmind
J’espère seulement qu’ils vont s’apercevoir qu’il y a clairement un manque d’organisation des développeurs. On le voit avec iOS 11 qui est (on pourrait le dire) toujours en bêta, simplement car les devs étaient plus occupés à adapter l’OS pour l’iPhone X que pour fixer les bugs sur les autres devices...
@ storminmind
"= y a une équipe de bras cassés qui va bientôt perdre son job"
Ou plus vraisemblablement, malheureusement, il n'y a pas assez de personnes sur macOS, et pas mis en condition de motivation...
J'espère qu'en 2019, quand je passerai mon Mac sous High Sierra, y'en aura plus des comme ça...
Fichtre, c'était rapide ! Y'en a qui ont passé une nuit blanche à Cupertino :)
Et comme vous l'avez tous sans doute déjà remarqué, le patch désactive le compte root au cas où celui-ci aurait été créé (par mégarde) par tous les curieux voulant tester la faille :)
Et si l’industrie revenait à un OS majeur tous les 3 ans ?
Cela donnerait plus de temps pour valider avant de devoir sortir à l’arrache à la date donnee par le marketing ou les ventes
Dont acte pour la lettre d’excuse
J’apprécie cela M. Cook si si
Pas dispo pour moi qui suis en 10.13.2 :/
Maintenant que cette faille est réglée, j'avais une petite question: est-il préférable OU non d'activer root ??? Merci de m'éclairer sur ce doute !??
Non.
Et pour des raisons de sécurité, il est même conseillé d'utiliser un compte standard au lieu d'être admin.
@ Issu la chancla
“Et pour des raisons de sécurité, il est même conseillé d'utiliser un compte standard au lieu d'être admin.” ??
Est-ce que tu peux développer cette réponse stp ?????
il dit n'importe quoi le gars. sans droits d'administration on peut pas installer rien du tout dans la machine. on peut juste consulter internet, ou utiliser des programmes qui sont déjà installé.
Bien sur qu'on peut installer, réfléchis.
Suffit de saisir l'id du compte admin et le mot de passe.
C'est une protection supplémentaire.
Rien ne peut être installé "par accident" Strictement rien. Aucune intrusion extérieure n'est possible, la moindre petite action nécessitera l'élévation au status d'administrateur.
Même pour déplacer un fond d'écran dans le dossier Desktop Pictures.
Ça ne gène en rien lors de 99% du temps. Installer quelque chose requiers juste de rentrer le compte admin et le mot de passe. Ca fait perdre 4 secondes.
SI le mot de passe venait à être corrompu ou connu, le mac resterait inviolable tant que l'ID administrateur n'est pas connu.
Apple le conseille dans son guide de sécurité depuis des années, page 124 https://www.apple.com/support/security/guides/docs/SnowLeopard_Security_Config_v10.6.pdf et ici pour plus récent https://support.apple.com/kb/PH25108?locale=fr_FR&viewlocale=fr_FR
Ce matin
Lui: Mega faille sur ton mac, c'est trop gros, pire que windows
Moi: Ah, montres moi.
Lui: faut que tu te connectes d'abord
Moi: Ah bon, faut que je te laisse volontairement faire des trucs sur mon mac ... sinon pas de faille ?
Lui: Tu es trop fan d'apple tu n'as rien compris ...windows 7 ... jobs...cook ...
Moi: Okay, tu sais quoi vais bosser sur des produits certes imparfaits ...mais juste les meilleurs.
@sdurial
Je s’appelle ...
@sdurial
Mouai ... sauf que la faille était aussi utilisable via un partage d’écran, donc, à distance !
Pourquoi minimises tu cette affaire, alors que même Apple s’excuse platement, ce qui est à graver d’une pierre blanche.
@DDivo
Même avec le partage d’écran il fallait un compte validé. Donc cela revient au même.
@DDivo
Faut toujours une première fois. lol.
Les "rageux" veulent absolument pointer que MacOs est faillible...beh oui J.
Si je partage une session, beh c'est a mes risques et périls...cette faille nécessite une ouverture de session devant le mac ...c'est tout ce que je dis.
C'est clairement une mauvaise gestion des authentifications, mais pas de quoi en faire des tonnes face à la magie et la sécurité hors nomes de MacOs J
un compte utilisateur invité suffit d'avoir accès. et l'utilisateur invité est activé par default.
@sdurial
"la magie et la sécurité hors nomes de MacOs"
???
Hors normes, effectivement.
@occam
"???
Hors normes, effectivement."
Oui, tu sais, moi, je ris pas vraiment.
Ou très jaune.
Bon je vois bien que c'est la remarque qu contributeur qui te fait rire, mais Je vois C1machin qui a nous communique ses orgasmes à répétition depuis le truc (impossible de le masquer sur mon Galaxy, je vais finir par m'acheter un x rien que pour ça), c'est quand même pathétique.
@Bigdidou
"(impossible de le masquer sur mon Galaxy, je vais finir par m'acheter un x rien que pour ça)"
On pouvait en effet le soupçonner d'être un agent extrêmement retors à la solde d'Apple, pratiquant subtilement le marketing à rebours ("spite purchases", comme on les appelle outre-Atlantique).
Quant à moi, j'ai fini de rire, même jaune.
Quand je lis ici certains dithyrambes , et que mes collègues au boulot me flanquent à la figure leurs Macs, comme si j'étais responsable des frasques à répétition made in Cupertino qui leur empoisonnent la vie et les empêchent de bosser, j'ai envie de dégueuler. Vert.
Mais j'ai encore passé une nuit à réparer des permissions et de liens, à vérifier des fichiers, et je suis trop crevé pour chercher l'emoji qui vomit vert. Le seul que je trouve d'emblée, c'est?, que je dédie à à Apple avec toute mon admiration passée et mon dédain actuel.
@occam
Vous ne recevrez pas 120 000 $ comme une certaine dame sur un vélo aux US
Bon courage dans votre travail
;)
@occam
Faille root : un correctif en cas de bug avec le partage de fichiershttps://www.macg.co/os-x/2017/11/faille-root-un-correctif-en-cas-de-bug-avec-le-partage-de-fichiers-100567
@scanmb
C'est gentil, mais j'avais moi-même signalé la disponibilité de ce correctif cette nuit, cf. plus haut, en réponse à @Alberto8, à 03:38...
Dormir moins pour travailler plus, ça ménage le Dunlopillo.
@occam
Pardon , je suis passé à côté du commentaire
Bon courage
?
@sdurial
LOL j’ai eu droit à ça de mes collègues
???
Je ne veux pas minimiser la faille, mais bon... il faut quand même commencer par arriver à ouvrir une session pour accéder à la faille
@sdurial
Ah on est bien d'accord qu'il faut:
- Soit un accès avec mot de passe connu à un compte admin
- Soit avoir activé la connexion par fenêtre "Nom" et "Mot de passe" (et j'en suis même pas sûr).
Donc question intrusion sur l'ordi, c'est une tout petite faille.
Par contre là ou c'est grave, c'est les utilisateurs malintentionnés/blagueurs/emmerdeurs qui utilisent un Mac en session Utilisateur standard et qui peuvent donc avec ça tout modifier, supprimer des comptes, ... et LÀ c'est critique :/
N'importe quoi. La faille permet de se connecter en root même si l'ordi est éteint (à part si Filevault est activé ou si un MDP EFI est configuré). Si une session est en cours, même verrouillée, c'est piratable si le compte root est désactivé.
@dtb06 "La faille permet de se connecter en root même si l'ordi est <éteint>"
En gros, faut désactiver toutes les sécurités MacOs et laisser ses sessions à des amis J
Bref vous avez raison: Oui c'est un bug, qui potentiellement peut être hyper grave si tu laisses ta session ouverte à un ennemi ...Et que oui Apple a bien fait de s'excuser et j'espère que ca leur apprendra à ne jamais baisser les bras dans les process qualité+sécurité. Le diable est dans le détail => Le luxe.
Mais marre des windows-eurs et autres antivirus-eurs qui en profitent pour exister !
@mat 1696
"Donc question intrusion sur l'ordi, c'est une tout petite faille."
Bien sur, une faille qui permet par exemple à un malware qu'on imagine assez simple de prendre le contrôle total de ta machine et par là de ton réseau à partir d'un compte utilisateur, c'est une toute petite faille.
Juste par curiosité, ça serait quoi, une grosse faille, pour toi ?
Ça fait un peu peur, ce genre de remarque quand même. J'espère sincèrement que tu n'a pas la responsabilité de la moindre donnée concernant d'autres personnes que toi.
un compte utilisateur invité suffit. je viens de réessayer et ça marche.
Idée:
Créer une autre session admin sur le Mac
« Jouer un peu dedans » , sortir de cette session, revenir sur la « vôtre »
Sortir de la session
Arrêter le Mac et redémarrer
Tenter de supprimer un fichier et supprimer la session admin créer pour l’occasion
Pages