Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google divulgue trois failles dans OS X
Qui ont été répertoriées comme étant sévères

Le , par Stéphane le calme

94PARTAGES

2  0 
Non satisfaits d’avoir déjà révélés à plusieurs reprises des failles zero-day dans Windows, les ingénieurs de l’équipe de sécurité de Google récidive en s’attaquant cette fois-ci aux failles dans le système d’exploitation OS X d’Apple. Dans leurs collimateurs figurent trois failles qui ont été répertoriées comme étant sévères.

La première concerne NetworkD, un ensemble de processus fonctionnant en arrière-plan et permettant de les faire communiquer entre eux via le service XPC qui ne serait pas protégé par un mode sandboxing lui assurant un meilleur niveau de sécurité. La seconde se trouve au niveau de l’exécution du code au sein du kernel du framework I/O kit d’OS X à cause d’un pointeur NULL déréférencé dans IntelAccelerator. La troisième et dernière vulnérabilité qui concerne également le kernel du framework I/O kit d’OS X qui serait victime d’une corruption de sa mémoire à cause d’un mauvais paramétrage de la fonction bzero (qui sert à écrire des octets de valeur zéro dans un bloc d’octets) dans la classe IOBluetoothDevice (une instance de cette classe représente un seul dispositif télécommandé par la technologie Bluetooth).

Bien que chaque faille nécessite que la personne qui initie une attaque ait accès à un Mac ciblé, chaque vulnérabilité pourrait contribuer à faire croitre la probabilité de réussite d’une tentative d'élévation des niveaux de privilèges et de contrôle d’une machine. Chaque divulgation de vulnérabilité, comme l’avaient fait les ingénieurs Google faisant partie du Project Zero pour celles qui ont été trouvé sur le système d’exploitation de Microsoft, s’accompagnait d’un exploit visant à en apporter la preuve.

Les vulnérabilités ont été signalées à Apple, mais les failles n’ont pas été corrigées. Une fois que la date limite des 90 jours observée par les ingénieurs est passée, les détails sur les vulnérabilités trouvées dans les systèmes ont été automatiquement rendus disponibles au public.

« Afin de protéger ses clients, Apple s'interdit de divulguer, d'aborder ou de confirmer l'existence de failles de sécurité tant qu'une enquête approfondie n'a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Apple distribue habituellement des informations relatives aux problèmes de sécurité liés à ses produits par l'intermédiaire de son site Web ainsi que par une liste de diffusion » a écrit Cupertino sur sa page liée à la sécurité.

Ce n’est pas la première fois que les ingénieurs du Project Zero de Google ont publié des informations sur des vulnérabilités qui n’ont pas encore reçu de correctif : au cours des dernières semaines, l'équipe de sécurité a publié trois failles de sécurité dans le système d'exploitation Windows de Microsoft qui n’étaient alors pas encore corrigées.

Source : première faille, seconde, troisième, Apple

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de expertsecu
Inactif https://www.developpez.com
Le 25/01/2015 à 1:47
Citation Envoyé par Haseo86 Voir le message
(parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça).
Ils feraient comment?
5  0 
Avatar de Tryph
Membre émérite https://www.developpez.com
Le 17/02/2015 à 10:37
Citation Envoyé par RogerBower Voir le message

Heureusement qu'il y avait d'autres gars qui pensaient comme moi quand même lol... Et c'est gars là ont même réussi à faire changer leur politique à Google, c'est pas jolie cette fin d'affaire ? Allez, sans rancune les gars
sérieusement tu t'imagines avoir une responsabilité dans ce changement de politique...?



Citation Envoyé par RogerBower Voir le message

Ils ont du en faire les frais chez Google, parce que en faisant ça, les pirates ont du investir des machines dont la faille n'était évidemment pas comblée, et par rebond, trouver tout un tas de mots de passe de compte Google lol, et par rebond encore, hacker tout un tas de compte Google, les fermer, vider les emails et j'en passe, et comme Google tient de statistiques de tout.... Et peuvent savoir comment les choses se passent, ils ont du voir par exemple une bonne recrudescence de comptes hackés : "Mais, comment cela se fait-il ? Ont-ils du se demander....".


sérieusement, je comprends que Google adapte sa politique histoire de faire semblant de contenter les râleurs, mais bordel si on regarde bien ils ont pas changé grand choses:
- si le 91e jour tombe un week end, ils attendront le lundi pour divulguer la faille. honnêtement je vois pas comment on peut (du coté des plaignants) se féliciter d'une telle "victoire". c'est juste ridicule...
- si l'éditeur du soft faillible dépose une demande de prolongation avant la fin du 90e en promettant un patch à venir rapidement, il pourra bénéficier de 14 jours de plus. là c'est déjà plus intéressant pour l'éditeur pas pressé, un peu "j'm'en foutiste" (ce qui revient peut être un peu au même), qui fait face à un vrai défi technique ou qui subit l'architecture bancale de son soft. bien que j'ai du mal à croire que ça va changer grand chose pour la plupart des corrections (qui ne doivent pas prendre 14 jours, ni même 90 ou 104) peut être que ça pourra être réellement utile dans certain cas. après je doute pas que certains éditeur risquent de demander ce délai systématiquement. mais faut pas oublier que "Comme d'habitude, nous nous réservons le droit d’allonger ou de réduire ces délais sur la base de circonstances particulières." (dixit Google), donc prudence...

j'espère que Google fournira des statistiques sur ceux qui demandent ces délais et pour quelles failles, histoire de voir quels éditeurs se foutent de nous.
4  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 24/01/2015 à 11:05
C'est bien si ils ne le font pas que sur Windows
J'espère qu'ils feront de même pour Linux, c'est toujours sympa qu'une boite trouve et informe sur les failles
4  1 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 24/01/2015 à 12:05
Citation Envoyé par Haseo86 Voir le message
Bon, Google a réussi à déployer Android partout dans le monde, ils peinent à Imposer ChromeOS du coup ils passent par des voies détournées : ajouts constant de fonctionnalités à Chrome pour lui donner de plus en plus l'air d'un OS, et maintenant dénigrement permanent des concurrents (parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça). Bravo Google, mais le temps ou vous aviez une bonne image est définitivement passé.
Les constructeurs ont le choix d'installer Android ou Windows Phone sur leur terminaux
Quand au marché des PCs, c'est plus difficile: en magasin 99% des ordinateurs sont proposés depuis des années avec Windows
Il est plus difficile à Google de gagner des parts de marché avec un OS avec son OS différent et méconnu. Comme pour GNU/LInux il souffre de son invisibilité marketing

Mais je trouve que malgré ces gros défauts, (OS assez limité par rapport à un GNU/Linux "normal" il se vend plutot bien
4  1 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 24/01/2015 à 14:42
Citation Envoyé par youtpout978 Voir le message
Ça serait marrant qu'il le fasse pour leur propre produit.
Si je me souviens bien, c'est pour lui-même qu'il a mis en place ce système de surveillance et de recherche des failles. Et 90 jour est le temps qu'il s'est fixé à lui-même pour résoudre ses propres problèmes.
3  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 16/02/2015 à 8:40
La c'est mieux, c'est beaucoup plus souples pour les entreprises.

Car au risques de troller, corriger une faille dans un OS peut être très compliquer, par exemple:
http://www.developpez.com/actu/81245...tecturer-l-OS/

Corriger la faille en elle même peut être simple, mais assurer ensuite une rétro-compatibilité, sa peut être très très dur.
3  0 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 24/01/2015 à 11:16
Oui, car du coup, on ne peut plus les accuser d'en vouloir particulièrement à µSoft ... mais à tous ceux qui mettent plus de 90 jours à apporter des solutions.
3  1 
Avatar de Haseo86
Membre éclairé https://www.developpez.com
Le 24/01/2015 à 11:33
Bon, Google a réussi à déployer Android partout dans le monde, ils peinent à Imposer ChromeOS du coup ils passent par des voies détournées : ajouts constant de fonctionnalités à Chrome pour lui donner de plus en plus l'air d'un OS, et maintenant dénigrement permanent des concurrents (parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça). Bravo Google, mais le temps ou vous aviez une bonne image est définitivement passé.
3  2 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 24/01/2015 à 14:49
Citation Envoyé par Haseo86 Voir le message
J'ai un énorme doute sur le fait que Torvald ou Stallman, malgré toute la qualité de leurs productions et de leur apport au libre, soient efficace en tant qu'ambassadeur du libre auprès du grand public. Trop grandes gueules, trop agressifs et radicaux dans leurs propos, ils vont attirer plus de méfiance que sympathie.
De toutes façons, et à titre totalement personnel, la position de Linux dans les PC personnel ne me gène pas vraiment. Je vis très bien le fait de faire partie d'une minorité. Ce qui me gène, c'est la difficulté pour se procurer un PC (fixe ou portable) sans OS pour pouvoir installer ce que je veux et comme je veux.

Pour le moment, je construis mes PC moi-même, mais quand j'aurais 80 ans ou plus, je serais probablement moins enthousiaste. Donc, un grand choix de PC sans OS pré-installé ni Licence pré-payée me plairais assez.

Après, que Windows continue à dominer le marcher de postes de travail personnels, je m'en moque comme de l'an quarante.
3  2 
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 26/01/2015 à 12:41
Citation Envoyé par ticNFA Voir le message
Le Librem 15 de Purism pourrait vous convenir (avec Trisquel installé).
Absolument pas. Ce qui me convient, c'est OpenSUSE (pour le moment, mais c'est pas immuable), installé à ma botte, partitionné avec précision pour mon usage exclusif et avec uniquement les applications que j'utilise, avec les interfaces graphiques qui me vont bien etc...

En résumé, que ce soit en Windows ou en Linux, aucune configuration pré-installée ne me convient. Ce qu'il me faut, ce sont bien des PC vierges de tout OS et aucun PC pré-installé. Quand je n'aurais plus envie de construire mes PC, la première chose que je ferais sera de formater le Disque système ... quel que soit sont contenu.

D'ailleurs, en parlant de formater, je ne formate pas toutes les partitions avec le même "FileSystem" longtemps ça a été ext3 pour /boot et ReiserFS pour le reste, mais ça évolue avec les nouvelles technologie. D'ailleurs, je reste là aussi seul maitre à bord pour décider du type de FS pour chacune des partitions.
1  0