Sécurité IT : Apple rattrapé par la patrouille Google Project Zero
Transcription
Sécurité IT : Apple rattrapé par la patrouille Google Project Zero
CONNECTEZ-VOUS Menu CLOUD Envoyer à un ami Sécurité IT : Apple rattrapé par la patrouille Google Project Zero Clément Bohic, 23 janvier 2015, 12:56 15 19 3 9 2 commentaires Il y a trois mois, l’équipe Project Zero de Google repérait trois failles de sécurité dans OS X. Apple n’ayant pas réagi, les vulnérabilités sont rendues publiques. Le Project Zero se montre aussi intransigeant vis-à-vis d’Apple que de Microsoft. Constituée par Google, cette équipe de chercheurs en sécurité informatique est chargée de détecter les failles dans les principaux produits logiciels du marché. Elle ne communique ces vulnérabilités qu’aux éditeurs concernés, mais dans un souci de transparence, toutes les découvertes sont signalées sur une base de données. Et surtout, à défaut d’une réaction de l’éditeur sous 90 jours, ce sont les failles à proprement parler qui sont rendues publiques, afin d’accélérer le développement de correctifs. Le cas s’est présenté avec Microsoft lors du Patch Tuesday de janvier 2015 : Google a fait la lumière sur une faille juste avant la mise à disposition du correctif. Irrité, Microsoft avait appelé à une « meilleure synchronisation » des efforts entre chercheurs et éditeurs, ainsi qu’à davantage de concertations sur les stratégies de protection. Même traitement pour Apple. Plus de trois mois se sont écoulés depuis que la firme de Cupertino a été notifiée de trois vulnérabilités affectant différentes composantes du système d’exploitation OS X. Aucune de ces brèches ne peut être exploitée sans accès direct à la machine visée, mais le niveau de criticité est jugé sévère au vu des actions qui peuvent être réalisées par des tiers après élévation de privilèges au niveau administrateur. Communiquée à Apple le 20 octobre 2014, la première faille concerne le démon système networkd, exécuté avec les permissions de la session en cours, et qui implémente le service réseau XPC. Le problème réside dans la gestion des paramètres associés aux fonctions xpc_dictionary_get_value et xpc_array_get_value (plus d’informations ici). D’après les chercheurs en sécurité qui se sont exprimés sur le fil de discussion lié à cette vulnérabilité, il est possible d’en atténuer les effets sur la dernière version d’OS X (10.10 « Yosemite »). Même constat pour la deuxième faille, qui se trouve dans le framework open source IOKit, basé sur une forme simplifiée du langage C++ et utilisé par les développeurs pour élaborer des pilotes à destination d’OS X, mais aussi d’iOS. Le problème réside dans la gestion des entrées-sorties pour la communication avec différents périphériques système. La troisième faille affecte aussi IOKit et plus particulièrement la gestion des connexions Bluetooth. Elle peut entraîner une corruption de la mémoire par dépassement de capacité en manipulant la commande bzero pour injecter des bits. —— A voir aussi —— Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ? converted by Web2PDFConvert.com Crédit photo : Denys Prykhodov – Shutterstock.com 15 19 Restez connecté, inscrivez-vous gratuitement à notre newsletter ! 3 9 2 commentaires Envoyer à un ami Clément Bohic Rédacteur pour ITespresso.fr (groupe NetMediaEurope). Suivez-moi THÉMATIQUES ASSOCIÉES Apple Faille Google Iokit Os X CLOUD : ACCÉLÉRATEUR DE BUSINESS Tout savoir sur les atouts Cloud pour les Métiers! Accédez au site Cloud : Accélérateur de Business et découvrez les dossiers et articles dédiés au Cloud, visualisez les vidéos interviews et témoignages clients et téléchargez gratuitement les études et livres blancs. Pour plus d'informations, cliquez ici ! CONTENUS ASSOCIÉS Livre blanc par IBM Cloud Livre blanc par IBM Cloud Livre blanc par IBM Cloud Emploi par emploi.silicon.fr 10 idées reçues sur le cloud Les liens du Cloud Un cloud privé à l’ère du cloud hybride Artisan Developpeur / Software Engineer C# – H/F Article par silicon.fr Article par silicon.fr Article par itespresso.fr Google déniche 3 failles Zero Day dans Mac OS X Google livre une version de Chrome taillée pour iOS 8 Sécurité IT - OS X : Apple passe en mode automatique converted by Web2PDFConvert.com RESTONS CONNECTÉS Suivez-nous ✉ NEWSLETTERS CONNECTEZ-VOUS Services Votre compte Testez votre débit Internet Test couverture 4G et spots Wifi Quelle est mon adresse IP Quiz Plan du site Sites Livres Blancs Informatiques Télécharger Silicon Channelbiz Gizmodo Emplois, jobs Informatique Mentions légales Charte de confiance – Mentions Légales Conditions Générales d’Utilisation Rester en contact Contactez la rédaction Contactez la régie Contactez la technique Proposition de partenariat Contactez le service étude NETMEDIAEUROPE Brésil Royaume-Uni Allemagne Monde France Italie Portugal Espagne NetMediaEurope © Copyright 2015 Tous droits réservés. A propos de NetMediaEurope converted by Web2PDFConvert.com