IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple a laissé les utilisateurs iOS exposés à des failles de sécurité
Précédemment colmatées sur Mac OS X, pendant des semaines

Le , par Stéphane le calme

221PARTAGES

2  0 
Kristin Paget, ancienne ingénieur en sécurité pour le compte d’Apple qui a quitté Cupertino en janvier pour rejoindre les rangs de Tesla Motors, a vivement critiqué la politique de livraison de correctifs pratiquée par son ancien employeur dans un billet publié sur son blog.

La chercheuse a catalogué une douzaine de failles dans la sécurité qui ont reçu un correctif dans la mise à jour iOS 7.1.1. Selon l'avis de sécurité publié par Apple, certaines failles découvertes dans WebKit peuvent permettre à un attaquant d'exécuter du code arbitraire quand les utilisateurs accèdent à des sites web malveillants. Kristin a remarqué que 16 des vulnérabilités corrigées avaient reçu un correctif trois semaines plus tôt dans une mise à jour séparée pour les utilisateurs d’OS X.


« Apple se targue d'utiliser le même kernel (plus un mélange de composants divers) pour ses deux plates-formes [iOS et OS X], mais il ne corrige qu'un système à la fois, exposant les utilisateurs de l'autre plate-forme à des failles de sécurité connues pendant plusieurs semaines. Comment peut-on accepter cela ? », s’est interrogé Kristin Paget. « Il semble qu'Apple ait besoin que quelqu'un lui fasse écrire 100 fois : « Je n'exposerai pas les utilisateurs d'iOS à des failles Zero-Day identifiées dans OSX et réciproquement » », a-t-elle déclaré.

Puis, s’adressant directement aux responsables, elle a demandé « est-ce la façon dont vous faites des affaires? Publier un correctif pour un produit qui répertorie pratiquement littéralement, dans l'ordre, les failles de sécurité de votre plate-forme, puis ne pas parvenir à colmater ces faiblesses sur votre autre gamme de produits des * semaines * après? Vous n’y voyez vraiment aucun mal ? »

La critique de Paget arrive deux mois après qu'Apple ait corrigé la faille extrêmement critique «goto fail» dans iOS sans l’avoir colmatée dans la version Mavericks de Mac OS X. La faille, qui octroyait à « un attaquant avec une position de réseau privilégié » la possibilité de « capturer ou modifier des données dans les sessions protégées par SSL / TLS » n’a finalement été corrigée que le 25 février sur Mavericks.

Autre exemple : la faille WebKit identifiée sous la référence CVE- 2013-2909, a été corrigée par Google dans Chrome le 1er octobre 2013. Chez Apple, le correctif pour les versions 6.1.1 et 7.0.1 de Safari n’est venu que le 16 décembre 2013, soit plus de deux mois après Google. Celui d’iOS 7.1 n’a été publié que le 10 mars, soit cinq mois plus tard.

Source : blog Kristin Paget

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !