Sécurité : le notaire de macOS Mojave a déjà une faille

Mickaël Bazoge |

macOS Mojave, dont la version finale est disponible depuis quelques heures, n’aura eu droit à aucun délai de grâce. Patrick Wardle, spécialiste en sécurité chez Digita Security, a repéré une faille plutôt embêtante alors qu’Apple promeut les fonctions de sécurité de son nouveau système d’exploitation.

Le bidouilleur est ainsi parvenu à extirper les informations de contacts depuis le carnet d’adresses de Mojave, en utilisant une application n’ayant pas la permission d’y accéder. macOS 10.14 embarque pourtant un nouveau mécanisme qui exige de chaque application une autorisation pour accéder aux données personnelles des utilisateurs (lire : Sécurité : dans macOS Mojave, un notaire pour arrêter les frais).

La vulnérabilité trouvée par Patrick Wardle est « triviale » mais son implémentation est fiable « à 100% ». Il précise toutefois qu’il ne s’agit pas d’un contournement « universel », le malandrin ne pouvant avoir accès qu’à certaines données, pas à toutes (pas d’accès à la webcam, par exemple). Il ne rentre pas dans les détails qui seront donnés durant une conférence Objective-by-the-Sea, en novembre. Le temps de laisser Apple boucher la faille…

Source
TechCrunch
Tags
#sécurité #macOS Mojave
avatar johndoo | 

Ok super...demain matin un nouveau patch de sécurité de disponible ! ?

avatar MacGyver | 

je me mefie toujours des notaires, mais pour le coup, je sais pas ce qu'il vient faire la....

avatar Moonwalker | 

Un beau coup de pub pour sa conférence. Il a gardé la faille sous le coude pour la sortir aujourd’hui.

avatar Maliik | 

@Moonwalker

Exactement... un vrai petit malin !

avatar Jeckill13 | 

@Moonwalker

Bien entendu. C’est bien plus facile de communiquer en procédant de la sorte, l’impact est plus fort. Le gars il a accès aux version bêta, il se garde garde ses trouvailles sous le coude et quand ça sort il a juste a vérifier si elles sont toujours présents.

avatar Moonwalker | 

Wardle est un bon expert, mais il est aussi un habitué de ce genre de coups.

Des failles ont en trouvera bien d’autres, avant et après la 10.14.1.

avatar Crunch Crunch | 

@Moonwalker

Mouais…
Et il a attendu ce soir pour en parler ?

avatar bugman | 

"Malandrin", je ne vois ici ni voleur, ni bandit de grand chemin... Juste la présence d'une faille.

avatar zoubi2 | 

)-:

Alors.. On va dire... Un éventuel malandrin ne pouvant...

avatar bugman | 

@zoubi2

C'est mieux, je pense. C'est surtout que j'ai dû lire deux fois pour m'assurer que ce n'était pas Patrick le malandrin.

:-)

avatar Alberto8 | 

C’est devenu une belle m...e macos !

https://www.mac4ever.com/actu/136688_mojave-quelques-bugs-durant-l-installation

avatar Moonwalker | 

Les râleurs et les pleureuses, le 25, j’ai dit, pas le 24.

avatar Jeckill13 | 

@Alberto8

Pas plus que les autres systèmes d’exploitation. Le nombre de fois où les installations de Windows posent problème sont légions. C’est juste que Apple c’est plus médiatique et vecteur de clickbait. Windows ça plante ... c’est habituel personne ne s’en émeut, Apple ça plante tu fais un article avec un titre racoleur et bingo.

avatar reborn | 

@Jeckill13

+1

avatar Link1993 | 

@Alberto8

T'inquiètes pas, j'ai encore de bons souvenirs de mon installation de Léopard...
Ah, Panther aussi qui m'avait causé des soucis après que jaguar m'en ai fait aussi...
Et Mac OS 9 aussi était un peu casse pieds...

avatar Grahamcoxon | 

Le notaire que je suis ne comprend pas le titre

avatar bugman | 

@Grahamcoxon

Comme toi, il donne (est censé donner) des actes d'authenticités (ici au système).

avatar Grahamcoxon | 

@bugman

Ahhhh

avatar Grahamcoxon | 

@bugman

Bien trouvé alors le titre !

avatar Moonwalker | 

Le Notaire déjà cravaté, ça pouvait aussi le faire.

avatar stefhan | 

@bugman

Ah merci je n’avais pas compris aussi.

avatar EBLIS | 

”T'es sûr t'es assessoriste?"

avatar ChatSauvage | 

Idem. Je suis notaire et je ne comprends pas le titre...

avatar bugman | 

@ChatSauvage

C'est le nom donné par Apple (Apple Notary Service) à cette couche de sécurité. Il y a un lien dans l'article.

avatar IRONMAN65 | 

My notaire is rich...?

avatar Fan2ElodieFrege | 

Dans la nature depuis même pas 24h et déjà des problèmes ...

avatar Fredo | 

Juste en passant avant de prendre mon apéro ;)
https://help.apple.com/xcode/mac/current/#/dev88332a81e

notarized app
A notarized app is a macOS app that was uploaded to Apple for processing before it was distributed. When you export a notarized app from Xcode, it code signs the app with a Developer ID certificate and staples a ticket from Apple to the app. The ticket confirms that you previously uploaded the app to Apple.

On macOS 10.14 and later, the user can launch notarized apps when Gatekeeper is enabled. When the user first launches a notarized app, Gatekeeper looks for the app’s ticket online. If the user is offline, Gatekeeper looks for the ticket that was stapled to the app.

CONNEXION UTILISATEUR