Google divulgue trois failles dans OS X
Qui ont été répertoriées comme étant sévères

Le , par Stéphane le calme

52PARTAGES

2  0 
Non satisfaits d’avoir déjà révélés à plusieurs reprises des failles zero-day dans Windows, les ingénieurs de l’équipe de sécurité de Google récidive en s’attaquant cette fois-ci aux failles dans le système d’exploitation OS X d’Apple. Dans leurs collimateurs figurent trois failles qui ont été répertoriées comme étant sévères.

La première concerne NetworkD, un ensemble de processus fonctionnant en arrière-plan et permettant de les faire communiquer entre eux via le service XPC qui ne serait pas protégé par un mode sandboxing lui assurant un meilleur niveau de sécurité. La seconde se trouve au niveau de l’exécution du code au sein du kernel du framework I/O kit d’OS X à cause d’un pointeur NULL déréférencé dans IntelAccelerator. La troisième et dernière vulnérabilité qui concerne également le kernel du framework I/O kit d’OS X qui serait victime d’une corruption de sa mémoire à cause d’un mauvais paramétrage de la fonction bzero (qui sert à écrire des octets de valeur zéro dans un bloc d’octets) dans la classe IOBluetoothDevice (une instance de cette classe représente un seul dispositif télécommandé par la technologie Bluetooth).

Bien que chaque faille nécessite que la personne qui initie une attaque ait accès à un Mac ciblé, chaque vulnérabilité pourrait contribuer à faire croitre la probabilité de réussite d’une tentative d'élévation des niveaux de privilèges et de contrôle d’une machine. Chaque divulgation de vulnérabilité, comme l’avaient fait les ingénieurs Google faisant partie du Project Zero pour celles qui ont été trouvé sur le système d’exploitation de Microsoft, s’accompagnait d’un exploit visant à en apporter la preuve.

Les vulnérabilités ont été signalées à Apple, mais les failles n’ont pas été corrigées. Une fois que la date limite des 90 jours observée par les ingénieurs est passée, les détails sur les vulnérabilités trouvées dans les systèmes ont été automatiquement rendus disponibles au public.

« Afin de protéger ses clients, Apple s'interdit de divulguer, d'aborder ou de confirmer l'existence de failles de sécurité tant qu'une enquête approfondie n'a pas été menée et que des correctifs ou mises à jour ne sont pas mis à disposition. Apple distribue habituellement des informations relatives aux problèmes de sécurité liés à ses produits par l'intermédiaire de son site Web ainsi que par une liste de diffusion » a écrit Cupertino sur sa page liée à la sécurité.

Ce n’est pas la première fois que les ingénieurs du Project Zero de Google ont publié des informations sur des vulnérabilités qui n’ont pas encore reçu de correctif : au cours des dernières semaines, l'équipe de sécurité a publié trois failles de sécurité dans le système d'exploitation Windows de Microsoft qui n’étaient alors pas encore corrigées.

Source : première faille, seconde, troisième, Apple

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de imikado
Rédacteur https://www.developpez.com
Le 24/01/2015 à 11:05
C'est bien si ils ne le font pas que sur Windows
J'espère qu'ils feront de même pour Linux, c'est toujours sympa qu'une boite trouve et informe sur les failles
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 24/01/2015 à 11:16
Oui, car du coup, on ne peut plus les accuser d'en vouloir particulièrement à µSoft ... mais à tous ceux qui mettent plus de 90 jours à apporter des solutions.
Avatar de Haseo86
Membre éclairé https://www.developpez.com
Le 24/01/2015 à 11:33
Bon, Google a réussi à déployer Android partout dans le monde, ils peinent à Imposer ChromeOS du coup ils passent par des voies détournées : ajouts constant de fonctionnalités à Chrome pour lui donner de plus en plus l'air d'un OS, et maintenant dénigrement permanent des concurrents (parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça). Bravo Google, mais le temps ou vous aviez une bonne image est définitivement passé.
Avatar de imikado
Rédacteur https://www.developpez.com
Le 24/01/2015 à 12:05
Citation Envoyé par Haseo86 Voir le message
Bon, Google a réussi à déployer Android partout dans le monde, ils peinent à Imposer ChromeOS du coup ils passent par des voies détournées : ajouts constant de fonctionnalités à Chrome pour lui donner de plus en plus l'air d'un OS, et maintenant dénigrement permanent des concurrents (parce qu'il faut être honnête, si leur but était d'informer, ils ne feraient pas comme ça). Bravo Google, mais le temps ou vous aviez une bonne image est définitivement passé.
Les constructeurs ont le choix d'installer Android ou Windows Phone sur leur terminaux
Quand au marché des PCs, c'est plus difficile: en magasin 99% des ordinateurs sont proposés depuis des années avec Windows
Il est plus difficile à Google de gagner des parts de marché avec un OS avec son OS différent et méconnu. Comme pour GNU/LInux il souffre de son invisibilité marketing

Mais je trouve que malgré ces gros défauts, (OS assez limité par rapport à un GNU/Linux "normal" il se vend plutot bien
Avatar de Haseo86
Membre éclairé https://www.developpez.com
Le 24/01/2015 à 13:02
Citation Envoyé par imikado Voir le message
Les constructeurs ont le choix d'installer Android ou Windows Phone sur leur terminaux
Quand au marché des PCs, c'est plus difficile: en magasin 99% des ordinateurs sont proposés depuis des années avec Windows
Il est plus difficile à Google de gagner des parts de marché avec un OS avec son OS différent et méconnu. Comme pour GNU/LInux il souffre de son invisibilité marketing

Mais je trouve que malgré ces gros défauts, (OS assez limité par rapport à un GNU/Linux "normal" il se vend plutot bien
Les constructeurs ont le choix, c'est une question de point de vue. Ils ont des objectifs financiers, et prenant en compte l'efficacité du neuro-marketing de Google, ils se trouvent pratiquement devant le choix "Google ou échec" pour lancer des terminaux aujourd'hui.

Mais du côté PC, c'est bien ce que je dis. Google n'a aucune chance en frontal, donc ils utilisent tous les moyens détournés à leur disposition pour faire rentrer l'idée "Chrome = OS", petit à petit.
Avatar de Lutarez
Membre chevronné https://www.developpez.com
Le 24/01/2015 à 13:48
Citation Envoyé par imikado Voir le message
GNU/LInux il souffre de son invisibilité marketing
Je me suis toujours posé la question : pourquoi personne n'organise une collecte (ou financement participatif, c'est à la mode) pour justement financer une campagne marketing visant à promouvoir le Libre ? S
i en plus on pouvait y associer quelques grands noms comme Torvald ou Stallman, je suis sûr que ce genre de collecte serait efficace.
Avatar de youtpout978
Membre expert https://www.developpez.com
Le 24/01/2015 à 14:07
Ça serait marrant qu'il le fasse pour leur propre produit.
Avatar de Haseo86
Membre éclairé https://www.developpez.com
Le 24/01/2015 à 14:26
Citation Envoyé par Lutarez Voir le message
Je me suis toujours posé la question : pourquoi personne n'organise une collecte (ou financement participatif, c'est à la mode) pour justement financer une campagne marketing visant à promouvoir le Libre ? S
i en plus on pouvait y associer quelques grands noms comme Torvald ou Stallman, je suis sûr que ce genre de collecte serait efficace.
J'ai un énorme doute sur le fait que Torvald ou Stallman, malgré toute la qualité de leurs productions et de leur apport au libre, soient efficace en tant qu'ambassadeur du libre auprès du grand public. Trop grandes gueules, trop agressifs et radicaux dans leurs propos, ils vont attirer plus de méfiance que sympathie.
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 24/01/2015 à 14:42
Citation Envoyé par youtpout978 Voir le message
Ça serait marrant qu'il le fasse pour leur propre produit.
Si je me souviens bien, c'est pour lui-même qu'il a mis en place ce système de surveillance et de recherche des failles. Et 90 jour est le temps qu'il s'est fixé à lui-même pour résoudre ses propres problèmes.
Avatar de Pierre GIRARD
Expert éminent https://www.developpez.com
Le 24/01/2015 à 14:49
Citation Envoyé par Haseo86 Voir le message
J'ai un énorme doute sur le fait que Torvald ou Stallman, malgré toute la qualité de leurs productions et de leur apport au libre, soient efficace en tant qu'ambassadeur du libre auprès du grand public. Trop grandes gueules, trop agressifs et radicaux dans leurs propos, ils vont attirer plus de méfiance que sympathie.
De toutes façons, et à titre totalement personnel, la position de Linux dans les PC personnel ne me gène pas vraiment. Je vis très bien le fait de faire partie d'une minorité. Ce qui me gène, c'est la difficulté pour se procurer un PC (fixe ou portable) sans OS pour pouvoir installer ce que je veux et comme je veux.

Pour le moment, je construis mes PC moi-même, mais quand j'aurais 80 ans ou plus, je serais probablement moins enthousiaste. Donc, un grand choix de PC sans OS pré-installé ni Licence pré-payée me plairais assez.

Après, que Windows continue à dominer le marcher de postes de travail personnels, je m'en moque comme de l'an quarante.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web