Sécurité : le notaire de macOS Mojave a déjà une faille
macOS Mojave, dont la version finale est disponible depuis quelques heures, n’aura eu droit à aucun délai de grâce. Patrick Wardle, spécialiste en sécurité chez Digita Security, a repéré une faille plutôt embêtante alors qu’Apple promeut les fonctions de sécurité de son nouveau système d’exploitation.
Le bidouilleur est ainsi parvenu à extirper les informations de contacts depuis le carnet d’adresses de Mojave, en utilisant une application n’ayant pas la permission d’y accéder. macOS 10.14 embarque pourtant un nouveau mécanisme qui exige de chaque application une autorisation pour accéder aux données personnelles des utilisateurs (lire : Sécurité : dans macOS Mojave, un notaire pour arrêter les frais).
La vulnérabilité trouvée par Patrick Wardle est « triviale » mais son implémentation est fiable « à 100% ». Il précise toutefois qu’il ne s’agit pas d’un contournement « universel », le malandrin ne pouvant avoir accès qu’à certaines données, pas à toutes (pas d’accès à la webcam, par exemple). Il ne rentre pas dans les détails qui seront donnés durant une conférence Objective-by-the-Sea, en novembre. Le temps de laisser Apple boucher la faille…
Ok super...demain matin un nouveau patch de sécurité de disponible ! ?
je me mefie toujours des notaires, mais pour le coup, je sais pas ce qu'il vient faire la....
Un beau coup de pub pour sa conférence. Il a gardé la faille sous le coude pour la sortir aujourd’hui.
@Moonwalker
Exactement... un vrai petit malin !
@Moonwalker
Bien entendu. C’est bien plus facile de communiquer en procédant de la sorte, l’impact est plus fort. Le gars il a accès aux version bêta, il se garde garde ses trouvailles sous le coude et quand ça sort il a juste a vérifier si elles sont toujours présents.
Wardle est un bon expert, mais il est aussi un habitué de ce genre de coups.
Des failles ont en trouvera bien d’autres, avant et après la 10.14.1.
@Moonwalker
Mouais…
Et il a attendu ce soir pour en parler ?
"Malandrin", je ne vois ici ni voleur, ni bandit de grand chemin... Juste la présence d'une faille.
)-:
Alors.. On va dire... Un éventuel malandrin ne pouvant...
@zoubi2
C'est mieux, je pense. C'est surtout que j'ai dû lire deux fois pour m'assurer que ce n'était pas Patrick le malandrin.
:-)
C’est devenu une belle m...e macos !
https://www.mac4ever.com/actu/136688_mojave-quelques-bugs-durant-l-installation
Les râleurs et les pleureuses, le 25, j’ai dit, pas le 24.
@Alberto8
Pas plus que les autres systèmes d’exploitation. Le nombre de fois où les installations de Windows posent problème sont légions. C’est juste que Apple c’est plus médiatique et vecteur de clickbait. Windows ça plante ... c’est habituel personne ne s’en émeut, Apple ça plante tu fais un article avec un titre racoleur et bingo.
@Jeckill13
+1
@Alberto8
T'inquiètes pas, j'ai encore de bons souvenirs de mon installation de Léopard...
Ah, Panther aussi qui m'avait causé des soucis après que jaguar m'en ai fait aussi...
Et Mac OS 9 aussi était un peu casse pieds...
Le notaire que je suis ne comprend pas le titre
@Grahamcoxon
Comme toi, il donne (est censé donner) des actes d'authenticités (ici au système).
@bugman
Ahhhh
@bugman
Bien trouvé alors le titre !
Le Notaire déjà cravaté, ça pouvait aussi le faire.
@bugman
Ah merci je n’avais pas compris aussi.
”T'es sûr t'es assessoriste?"
Idem. Je suis notaire et je ne comprends pas le titre...
@ChatSauvage
C'est le nom donné par Apple (Apple Notary Service) à cette couche de sécurité. Il y a un lien dans l'article.
My notaire is rich...?
Dans la nature depuis même pas 24h et déjà des problèmes ...
Juste en passant avant de prendre mon apéro ;)
https://help.apple.com/xcode/mac/current/#/dev88332a81e
notarized app
A notarized app is a macOS app that was uploaded to Apple for processing before it was distributed. When you export a notarized app from Xcode, it code signs the app with a Developer ID certificate and staples a ticket from Apple to the app. The ticket confirms that you previously uploaded the app to Apple.
On macOS 10.14 and later, the user can launch notarized apps when Gatekeeper is enabled. When the user first launches a notarized app, Gatekeeper looks for the app’s ticket online. If the user is offline, Gatekeeper looks for the ticket that was stapled to the app.