Accueil > Actu > 3 failles découvertes dans Mac OS X

3 failles découvertes dans Mac OS X

jeudi 30 octobre 2003

Alors que vient de sortir Mac OS X 10.3, des experts en sécurité découvrent trois importantes vulnérabilités dans les versions précédentes du système d’exploitation. Elles pourraient être exploitées pour prendre le contrôle de l’ordinateur.

La société américaine @Stake, spécialisée dans la sécurité informatique, alerte les utilisateurs d’ordinateurs Apple de la présence de trois failles critiques découvertes dans le système d’exploitation Mac OS X.

Ces trois vulnérabilités concernent les versions 10.2.8 et précédentes de l’OS, mais pas la nouvelle mouture 10.3 (Panther), sortie le 24 octobre. Apple n’ayant pour l’instant pas mis à disposition de correctifs pour résorber ces failles, @Stake conseille de passer à la nouvelle version.

La première faille se situe au niveau du noyau du système. « Il est possible de causer une panne du noyau de Mac OS X en entrant une longue ligne de commande (…), ce qui entraîne un blocage complet du système qui redémarre au bout de quelques minutes », explique @Stake.

Concrètement, il s’agit d’un risque de "dépassement de mémoire tampon" (buffer overflow) ; une défaillance qui advient lorsqu’un programme s’emballe et demande davantage de mémoire qu’il n’en dispose. Résultat, il accède à des zones mémoire qui ne lui sont pas destinées. Cette vulnérabilité peut être exploitée par une personne malintentionnée pour exécuter du code sur l’ordinateur afin d’en prendre le contrôle.

Usurper des privilèges d’accès au système

La seconde faille a été détectée au niveau du module d’installation des programmes, qui serait trop permissif. « Beaucoup d’applications sont installées sur des systèmes Mac OS X avec des permissions peu sûres (…). Conséquence, il est possible d’écrire dans la plupart des dossiers et répertoires », assure @Stake. Une personne peut en profiter pour usurper des privilèges d’accès au système, précisent les experts.

Enfin, la dernière vulnérabilité est assez similaire et concerne une fois de plus le noyau du système. Ce dernier peut être paramétré de façon à permettre la création d’un fichier rassemblant les données d’identification des utilisateurs (mots de passe et identifiant). Ces informations pourraient être exploitées, à des fins malveillantes, pour accéder aux parties du système normalement réservées à des utilisateurs spécifiques, conclut @Stake.

Christophe Guillemin

Voir en ligne : Article de ZDNet - 29/10/2003

Messages

  • De récentes failles de sécurité découvertes dans Mac OS X sont uniquement corrigées dans sa dernière version, la 10.3 (Panther). Mais Apple s’engage auprès de ses clients à fournir des mises à jour pour les systèmes antérieurs, toujours vulnérables.

    Apple va publier des mises à jour des anciennes versions de Mac OS X, afin de corriger les récentes failles de sécurité découvertes dans le système d’exploitation des ordinateurs Macintosh.

    La firme de Cupertino avait indiqué, mardi 28 octobre, soit quelques jours après la sortie de son nouvel OS, Mac OS X 10.3 (Panther), que ce dernier intégrait une douzaine d’améliorations en matière de sécurité dont la correction de plusieurs failles.

    Ces précisions faisaient suite à la publication le jour-même de trois bulletins de sécurité par la société américaine @Stake, spécialisée dans la sécurité informatique. Elle alertait les utilisateurs d’ordinateurs Apple de la présence de trois failles critiques découvertes dans le système d’exploitation Mac OS X (les versions 10.2.8 et précédentes).
    Apple n’ayant pas, à ce jour, mis à disposition de correctifs pour résorber ces failles, @Stake conseillait de passer à la nouvelle version.

    Pas de date annoncée pour les mises à jour

    Restait une interrogation : que faire si l’on est un utilisateur de Mac OS X et que l’on ne souhaite pas passer à la nouvelle version ? Réponse d’Apple : attendre l’arrivée des correctifs prochainement disponibles. « La politique d’Apple est de corriger rapidement les vulnérabilités significatives dans les anciennes versions de Mac OS X dès que cela est possible », explique la firme à la pomme dans un communiqué.

    « La sortie de Panther ne change pas cette politique. Apple a une excellente expérience professionnelle avec les Cert (Computer Emergency Response Team, centres de surveillance de sécurité, Ndlr) et la communauté "open source" pour identifier et corriger des vulnérabilités potentielles », précise Apple, sans cependant donner la moindre échéance sur la disponibilité des correctifs.

    « Dans mes conversations initiales avec Apple, il n’était pas question de corriger Mac OS 10.2 », a pourtant assuré à notre rédaction américaine David Goldsmith, chercheur chez @Stake.

    Voir en ligne : Article de ZDNet - 03/11/2003

Un message, un commentaire ?

Forum sur abonnement

Pour participer à ce forum, vous devez vous enregistrer au préalable. Merci d’indiquer ci-dessous l’identifiant personnel qui vous a été fourni. Si vous n’êtes pas enregistré, vous devez vous inscrire.

Connexions’inscriremot de passe oublié ?