Google publie 3 failles non corrigées dans OS X

Alors que Microsoft a ronchonné parce que Google a publié une faille avant qu’elle soit corrigée, que va faire Apple maintenant que trois failles dans OS X ont été rendues publiques ?

Les chercheurs du Project Zero de Google ne s’en prennent pas seulement à Microsoft, mais aussi à Apple. Ils avaient en effet publié une faille dans Windows quelques jours avant la publication du correctif, ce qui avait fait ronchonner Microsoft.

Cette fois, les chercheurs de Google dévoilent 3 failles non corrigées dans OS X. Annoncées le 20 octobre 2014 à Apple, elles n’ont pas encore été corrigées à ce jour.
La première faille concerne networkd. Ce demon système, exécuté avec les permissions de la session en cours, implémente le service réseau XPC. Selon les chercheurs du Project Zero, il existe un problème au niveau de la gestion des paramètres associés aux fonctions xpc_dictionary_get_value et xpc_array_get_value. La version OS X 10.10 Yosemite atténuerait les effets de cette faille.

La seconde faille se situe au niveau du Framework open source IOKit. Basé sur une forme simplifiée du langage C++, il est utilisé par les développeurs pour élaborer des pilotes pour OS X OS. La vulnérabilité se situe dans la gestion des entrées-sorties pour la communication avec les différents périphériques système.

La troisième faille est également dans l’IOKit, plus particulièrement au niveau de la gestion des connexions Bluetooth. Elle peut entraîner une corruption de la mémoire par dépassement de capacité en agissant sur la commande bzero pour injecter des bits.

Les chercheurs de Google indiquent que ces failles sont jugées très critiques vus les qu’elles permettent une élévation des privilèges au niveau administrateur. Pour être exploitées, elles nécessitent tout de même un accès direct à la machine.

Tout comme avec Microsoft, Google a tout d’abord averti Apple de l’existence de ces failles. Ce n’est que 90 jours plus tard qu’elles sont rendues publiques en espérant ainsi faire pression sur le responsable pour qu’il accélère le développement de correctifs.

Si Microsoft avait réagi à la divulgation prématurée de sa faille, que va faire Apple au sujet de ces trois vulnérabilités ?

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentWindows 10 : que cache Spartan ?
Article suivantUn « Test de la mort » pour éviter les traitements médicaux inutiles

Une fille dans l’informatique était mal vue à l’époque de mes études. C’est pour cette raison que l’on m’a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m’a plu. C’est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l’information m’a poussé à suivre des cours de journalisme.
Comme j’avais la propension de centraliser l’actualité technologique, un ami m’a dit un jour : «Emilie, tu peux le faire ». C’est comme cela que je me suis retrouvée embarquée dans l’aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m’intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here