Sécurité IT : Apple rattrapé par la patrouille Google Project Zero

Commentaires

Transcription

Sécurité IT : Apple rattrapé par la patrouille Google Project Zero
 CONNECTEZ-VOUS
 Menu
CLOUD
Envoyer à un ami
Sécurité IT : Apple rattrapé par la patrouille Google Project Zero
Clément Bohic, 23 janvier 2015, 12:56
15
19
3
9
2 commentaires
Il y a trois mois, l’équipe Project Zero de Google repérait trois failles de sécurité dans OS X. Apple n’ayant pas réagi, les vulnérabilités
sont rendues publiques.
Le Project Zero se montre aussi intransigeant vis-à-vis d’Apple que de Microsoft.
Constituée par Google, cette équipe de chercheurs en sécurité informatique est chargée de détecter les failles dans les principaux produits
logiciels du marché. Elle ne communique ces vulnérabilités qu’aux éditeurs concernés, mais dans un souci de transparence, toutes les
découvertes sont signalées sur une base de données. Et surtout, à défaut d’une réaction de l’éditeur sous 90 jours, ce sont les failles à
proprement parler qui sont rendues publiques, afin d’accélérer le développement de correctifs.
Le cas s’est présenté avec Microsoft lors du Patch Tuesday de janvier 2015 : Google a fait la lumière sur une faille juste avant la mise à
disposition du correctif. Irrité, Microsoft avait appelé à une « meilleure synchronisation » des efforts entre chercheurs et éditeurs, ainsi qu’à
davantage de concertations sur les stratégies de protection.
Même traitement pour Apple. Plus de trois mois se sont écoulés depuis que la firme de Cupertino a été notifiée de trois vulnérabilités
affectant différentes composantes du système d’exploitation OS X. Aucune de ces brèches ne peut être exploitée sans accès direct à la
machine visée, mais le niveau de criticité est jugé sévère au vu des actions qui peuvent être réalisées par des tiers après élévation de
privilèges au niveau administrateur.
Communiquée à Apple le 20 octobre 2014, la première faille concerne le démon système networkd, exécuté avec les permissions de la
session en cours, et qui implémente le service réseau XPC. Le problème réside dans la gestion des paramètres associés aux fonctions
xpc_dictionary_get_value et xpc_array_get_value (plus d’informations ici).
D’après les chercheurs en sécurité qui se sont exprimés sur le fil de discussion lié à cette vulnérabilité, il est possible d’en atténuer les
effets sur la dernière version d’OS X (10.10 « Yosemite »). Même constat pour la deuxième faille, qui se trouve dans le framework open
source IOKit, basé sur une forme simplifiée du langage C++ et utilisé par les développeurs pour élaborer des pilotes à destination d’OS X,
mais aussi d’iOS. Le problème réside dans la gestion des entrées-sorties pour la communication avec différents périphériques système.
La troisième faille affecte aussi IOKit et plus particulièrement la gestion des connexions Bluetooth. Elle peut entraîner une corruption de la
mémoire par dépassement de capacité en manipulant la commande bzero pour injecter des bits.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
converted by Web2PDFConvert.com
Crédit photo : Denys Prykhodov – Shutterstock.com

15
19
Restez connecté, inscrivez-vous gratuitement à notre newsletter !
3
9
2 commentaires
Envoyer à un ami
Clément Bohic
Rédacteur pour ITespresso.fr (groupe NetMediaEurope).
Suivez-moi
THÉMATIQUES ASSOCIÉES
Apple

Faille

Google

Iokit

Os X

CLOUD : ACCÉLÉRATEUR DE BUSINESS
Tout savoir sur les atouts Cloud pour les Métiers!
Accédez au site Cloud : Accélérateur de Business et découvrez les dossiers et articles dédiés au Cloud, visualisez les vidéos interviews et
témoignages clients et téléchargez gratuitement les études et livres blancs.
Pour plus d'informations, cliquez ici !
CONTENUS ASSOCIÉS
Livre blanc par IBM Cloud
Livre blanc par IBM Cloud
Livre blanc par IBM Cloud
Emploi par emploi.silicon.fr
10 idées reçues sur le
cloud
Les liens du Cloud
Un cloud privé à l’ère du
cloud hybride
Artisan Developpeur /
Software Engineer C# –
H/F
Article par silicon.fr
Article par silicon.fr
Article par itespresso.fr
Google déniche 3 failles
Zero Day dans Mac OS X
Google livre une version
de Chrome taillée pour
iOS 8
Sécurité IT - OS X : Apple
passe en mode
automatique
converted by Web2PDFConvert.com
RESTONS CONNECTÉS
Suivez-nous

✉ NEWSLETTERS
 CONNECTEZ-VOUS
Services
Votre compte
Testez votre débit Internet
Test couverture 4G et spots Wifi
Quelle est mon adresse IP
Quiz
Plan du site
Sites
Livres Blancs Informatiques
Télécharger
Silicon
Channelbiz
Gizmodo
Emplois, jobs Informatique
Mentions légales
Charte de confiance – Mentions Légales
Conditions Générales d’Utilisation
Rester en contact
Contactez la rédaction
Contactez la régie
Contactez la technique
Proposition de partenariat
Contactez le service étude
NETMEDIAEUROPE
Brésil
Royaume-Uni
Allemagne
Monde
France
Italie
Portugal
Espagne
NetMediaEurope © Copyright 2015 Tous droits réservés. A propos de NetMediaEurope
converted by Web2PDFConvert.com

Documents pareils