Connexion
Abonnez-vous

[MàJ] OS X Mavericks 10.9.2 est disponible et corrige la faille SSL

Oui, mais la question est : quand ?

[MàJ] OS X Mavericks 10.9.2 est disponible et corrige la faille SSL

Le 26 février 2014 à 07h18

Alors qu’Apple fait actuellement face à une dangereuse faille touchant les connexions SSL/TLS sous iOS et OS X, on sait désormais que la mise à jour 10.9.2, qui doit être diffusée prochainement, colmatera la brèche. Il n’est pas impossible que le patch soit publié rapidement.

mavericks faille ssl 10.9.2

 

Comme nous l’indiquions hier, Apple doit gérer une importante faille de sécurité touchant ses systèmes mobiles et fixes. Dans le cas d’iOS, une mise à jour est diffusée depuis vendredi dernier pour iOS 6 et 7 et les utilisateurs sont invités à l’installer aussi rapidement que possible. Elle reste cependant pleinement ouverte dans Mavericks (versions 10.9.0 et 10.9.1 du système) et il est recommandé de ne pas utiliser les Mac sur des réseaux publics. La faille permet en effet de contourner certaines de vérification des connexions et à un attaquant de se faire passer pour un site ou un service légitime.

 

On sait désormais que la version 10.9.2 du système corrigera la faille. La plus récente bêta envoyée il y a peu aux testeurs contient bien le fameux patch, comme a pu le vérifier un lecteur du site AppleInsider. Deux question restent donc en suspend : la date de diffusion de cette importante mise à jour et la possibilité d’une arrivée du correctif avant pour régler ce qui est bien une situation d’urgence.

 

Signalons quand même que la mise à jour 10.9.2 devrait apporter bon nombre d’améliorations à Mavericks en alignant notamment le système sur les possibilités d’iOS. Par exemple, la gestion des appels FaceTime Audio sera de la partie, de même que le blocage des contacts effectué sur un appareil mobile sera enfin synchronisé avec le Mac. Enfin, Mail devrait recevoir des corrections pour la gestion des comptes Gmail (encore) ainsi que pour les boites aux lettres intelligentes.

Commentaires (72)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

c’est quand même fou qu’Apple ne publie pas la Màj dès maintenant, étant donné l’importance de la faille… ça serait microsoft, tout le monde monterait au créneau…

votre avatar







Vieux_Coyote a écrit :



c’est quand même fou qu’Apple ne publie pas la Màj dès maintenant, étant donné l’importance de la faille… ça serait microsoft, tout le monde monterait au créneau…





[mode <img data-src=" />]

Il ne faut pas contrarier la divine pomme voyons <img data-src=" />

[/mode <img data-src=" />]


votre avatar







feuille_de_lune a écrit :



[mode <img data-src=" />]

Il ne faut pas contrarier la divine pomme voyons <img data-src=" />

[/mode <img data-src=" />]







le ver est dans la pomme.

<img data-src=" />


votre avatar







pyro-700 a écrit :



le ver est dans la pomme.

<img data-src=" />





et moi qui croyait les voies du seigneur impénétrables <img data-src=" />


votre avatar



Oui, mais la question est : quand ?





Je viens de consulter mes cartes de tarot et je suis tombé sur l’excuse. <img data-src=" />

votre avatar







Hebus a écrit :



Pourquoi autant de bruit ici?





Parce que n’importe quel analyseur de code, même pas très malin, te hurle dessus quand tu écris un truc comme ça parce que tu as un code mort.

Que le minimum pour qu’un code (surtout sur un protocole de sécurtié) soit validé en prod c’est le passer dans un analyseur de ce genre.

Et parce que Apple auront du mal à faire croire à qui que ce soit qu’ils n’ont pas ce genre d’outil.

A partir de là deux possibilité : le code n’a pas été analysé =&gt; boulot ni fait ni à faire, c’est honteux pour n’importe quelle entreprise, ou alors c’est intentionnel =&gt; ben le résultat parle de lui même …


votre avatar

– Doublon –

votre avatar

Depuis le temps que ça dure, et en sachant que https concernent beaucoup les sites bancaires ou les paiements par CB, il y a des raisons de penser que beaucoup de moyens de paiement sont potentiellement dans la nature?

votre avatar







Papa Panda a écrit :



Faut être patient.

Déjà les maj ne sont plus payantes <img data-src=" /> .







Sérieux c’était payant avant ?! <img data-src=" />



(ou c’est un gros <img data-src=" /> velu ? xD)


votre avatar







Khalev a écrit :



Non non, dans certains cas critiques la mise à jour est publiée hors du cycle de Patch Tuesday.









Autant pour moi alors .. Bon je lisais quand même pas mal de News sur les failles d’IE où à chaque fois ils disaient qu’elles seraient comblées aux Patch Tuesday.





Quoi qu’il en soit je trouve que ces cycles c’est un peu du nawak.. <img data-src=" />

Pour moi une faille doit être comblée dès qu’on a une solution , pas à attendre au troisième Mardi de chaque mois , comme si les gens cessaient d’être exposés entre temps, surtout quand on parle de faille qui concerne directement le navigateur.


votre avatar







coket a écrit :



Depuis le temps que ça dure, et en sachant que https concernent beaucoup les sites bancaires ou les paiements par CB, il y a des raisons de penser que beaucoup de moyens de paiement sont potentiellement dans la nature?





Peu de chance, non.


votre avatar







Ksass`Peuk a écrit :



Parce que n’importe quel analyseur de code, même pas très malin, te hurle dessus quand tu écris un truc comme ça parce que tu as un code mort.

Que le minimum pour qu’un code (surtout sur un protocole de sécurtié) soit validé en prod c’est le passer dans un analyseur de ce genre.

Et parce que Apple auront du mal à faire croire à qui que ce soit qu’ils n’ont pas ce genre d’outil.

A partir de là deux possibilité : le code n’a pas été analysé =&gt; boulot ni fait ni à faire, c’est honteux pour n’importe quelle entreprise, ou alors c’est intentionnel =&gt; ben le résultat parle de lui même …







Que les médais spécialisés en parlent d’accord, mais bon tous les médias s’y mettent, de BFM à Cuisine TV , pourquoi cette fois-ci ya un tel batage médiatique des médias généralistes?

Surtout qu’ils sont tellement nuls que l’introduction intentionelle ca leur a même pas effleuré l’esprit donc ils se contentent de dire “oulala ya un bug chez Apple, c’est dangereux, faites les MAJ!”. Je comprends pas ce buzz pour un truc qui arrive tous les jours <img data-src=" />


votre avatar

Ce code est vraiment très, très, très laid, de toute façon…

votre avatar







Hebus a écrit :



Que les médais spécialisés en parlent d’accord, mais bon tous les médias s’y mettent, de BFM à Cuisine TV , pourquoi cette fois-ci ya un tel batage médiatique des médias généralistes?

Surtout qu’ils sont tellement nuls que l’introduction intentionelle ca leur a même pas effleuré l’esprit donc ils se contentent de dire “oulala ya un bug chez Apple, c’est dangereux, faites les MAJ!”. Je comprends pas ce buzz pour un truc qui arrive tous les jours <img data-src=" />





Bah, c’est sensible quand même le https. Ça n’arrive pas tous les jours il me semble…


votre avatar







Cara62 a écrit :



Sérieux c’était payant avant ?! <img data-src=" />



(ou c’est un gros <img data-src=" /> velu ? xD)





C’est une gentille vanne on va dire.



La nouvelle version d’un OSX était payante, mais à faible cout (29\( pour 10.6, dans les 20\) pour 10.7 et 10.8) mais depuis Mavericks (10.9), c’est devenu gratuit (sous réserve que la machine supporte le système).

En revanche avant, Leopard (10.5) coûtait 129$.



Les màj systèmes intermédiaires 10.X.y ne sont pas payantes et ne l’ont jamais été. (on peut comparer ça à un service pack du monde d’en face).


votre avatar







Maxim Killigan a écrit :



Ce code est vraiment très, très, très laid, de toute façon…





C’est un cas très loin d’être rare.

Par ailleurs, ce genre de procédure ( if (les_cas_d_erreur) goto fail; ) est une écriture relativement standard pour avoir une écriture des libérations en cas de problème pas trop lourdingue en C.


votre avatar







Hebus a écrit :



Que les médais spécialisés en parlent d’accord, mais bon tous les médias s’y mettent, de BFM à Cuisine TV , pourquoi cette fois-ci ya un tel batage médiatique des médias généralistes?

Surtout qu’ils sont tellement nuls que l’introduction intentionelle ca leur a même pas effleuré l’esprit donc ils se contentent de dire “oulala ya un bug chez Apple, c’est dangereux, faites les MAJ!”. Je comprends pas ce buzz pour un truc qui arrive tous les jours <img data-src=" />





Plusieurs explications à mon humble avis. Apple se vante de vendre des systèmes inviolables, cf leur propre publicité : «le système le plus avancé au monde», ou encore «réaction rapide aux problèmes de certificat» (sans commentaire). Donc quand il y a une faille c’est tentant de les basher.



Par ailleurs beaucoup de journalistes «grand public» ont un Mac, ou une tablette ou téléphone avec iOS, ça les touche directement donc ils en parlent. Et puis quand quelque chose fait du bruit dans les milieux spécialisés, les journalistes généralistes le répètent sans trop comprendre juste pour profiter de l’effet de «buzz»…


votre avatar







Hebus a écrit :



Que les médais spécialisés en parlent d’accord, mais bon tous les médias s’y mettent, de BFM à Cuisine TV , pourquoi cette fois-ci ya un tel batage médiatique des médias généralistes?

Surtout qu’ils sont tellement nuls que l’introduction intentionelle ca leur a même pas effleuré l’esprit donc ils se contentent de dire “oulala ya un bug chez Apple, c’est dangereux, faites les MAJ!”. Je comprends pas ce buzz pour un truc qui arrive tous les jours <img data-src=" />





Ce genre de bug n’arrive pas tout les jours… et heureusement.

C’est pas le petite faille non plus, en gros la vérification du certificat ne vérifie rien et beaucoup de serveurs peuvent se faire passer pour ce qu’ils ne sont pas (site de banque, e-commerce….) bref…


votre avatar







Hebus a écrit :



Que les médais spécialisés en parlent d’accord, mais bon tous les médias s’y mettent, de BFM à Cuisine TV , pourquoi cette fois-ci ya un tel batage médiatique des médias généralistes?

Surtout qu’ils sont tellement nuls que l’introduction intentionelle ca leur a même pas effleuré l’esprit donc ils se contentent de dire “oulala ya un bug chez Apple, c’est dangereux, faites les MAJ!”. Je comprends pas ce buzz pour un truc qui arrive tous les jours <img data-src=" />





Parce que les médias, quoi qu’ils en disent, ont des biais fort dans l’information quand ça les concerne de trop près. Par exemple l’épisode du « tireur de Libération » (pour ceux qui s’en souviennent) avait été traité avec une exagération sans commune mesure avec la réalité, parce que ça les touchait directement.



Ben là c’est un peu pareil, dans un autre genre bien sûr. Comme ils sont quasiment tous sur Mac et iPhone (que ce soit par rapport au boulot ou par rapport à l’ambiance parisianno-CSP+ dans laquelle ils baignent pour beaucoup), et que globalement ils témoignent assez régulièrement de leur fascination pour la Pomme parce que c’est un sujet qui fait vendre, ben voilà… ils en rajoutent un peu.



Après, faut dire que le problème n’est pas anodin non plus… Donc les deux mis ensemble ça donne une bonne caisse de résonance.





Edit : globalement grillé par Konrad ci dessus :)


votre avatar







jb18v a écrit :



C’est une gentille vanne on va dire.



La nouvelle version d’un OSX était payante, mais à faible cout (29\( pour 10.6, dans les 20\) pour 10.7 et 10.8) mais depuis Mavericks (10.9), c’est devenu gratuit (sous réserve que la machine supporte le système).

En revanche avant, Leopard (10.5) coûtait 129$.



Les màj systèmes intermédiaires 10.X.y ne sont pas payantes et ne l’ont jamais été. (on peut comparer ça à un service pack du monde d’en face).







Merci. <img data-src=" />


votre avatar







Takayanagi a écrit :



Ce genre de bug n’arrive pas tout les jours… et heureusement.

C’est pas le petite faille non plus, en gros la vérification du certificat ne vérifie rien et beaucoup de serveurs peuvent se faire passer pour ce qu’ils ne sont pas (site de banque, e-commerce….) bref…





Ouais mais bon ca concerne que iOS ou OS X, donc comparativement au parc total de PC/téléphones/tablette dans le monde… Bref je trouve ca moins grave que des failles dans windows où le nombre de personnes exposées est bien plus grand. Si encore le sujet était “Apple a introduit un bug pour faciliter l’accès à la NSA” je veux bien (même le parc utilisateur est toujours le même), mais même pas…


votre avatar







Hebus a écrit :



Ouais mais bon ca concerne que iOS ou OS X, donc comparativement au parc total de PC/téléphones/tablette dans le monde… Bref je trouve ca moins grave que des failles dans windows où le nombre de personnes exposées est bien plus grand. Si encore le sujet était “Apple a introduit un bug pour faciliter l’accès à la NSA” je veux bien (même le parc utilisateur est toujours le même), mais même pas…





Bof sous Windows les gens sont habitués et blasés, une nouvelle faille c’est normal…



<img data-src=" />


votre avatar







jb18v a écrit :



C’est une gentille vanne on va dire.



La nouvelle version d’un OSX était payante, mais à faible cout (29\( pour 10.6, dans les 20\) pour 10.7 et 10.8) mais depuis Mavericks (10.9), c’est devenu gratuit (sous réserve que la machine supporte le système).

En revanche avant, Leopard (10.5) coûtait 129$.



Les màj systèmes intermédiaires 10.X.y ne sont pas payantes et ne l’ont jamais été. (on peut comparer ça à un service pack du monde d’en face).









Cara62 a écrit :



Merci. <img data-src=" />





Oui ,une gentille boutade , de rien du tout <img data-src=" /> .



Par contre, autant les versions d’avant , je voyais pas mal de retours (qu’ils soient négatifs ou non) mais ,sur cette version, pas grand chose.



Les macusers vous la sentaient comment celle ci ?<img data-src=" />


votre avatar







jb18v a écrit :



C’est une gentille vanne on va dire.



La nouvelle version d’un OSX était payante, mais à faible cout (29\( pour 10.6, dans les 20\) pour 10.7 et 10.8) mais depuis Mavericks (10.9), c’est devenu gratuit (sous réserve que la machine supporte le système).

En revanche avant, Leopard (10.5) coûtait 129$.



Les màj systèmes intermédiaires 10.X.y ne sont pas payantes et ne l’ont jamais été. (on peut comparer ça à un service pack du monde d’en face).





Et on remarquera que le bug n’est présent que dans des versions gratuites. : iOS6 et 7, Mac OS 10.9 (et 10.8 patché avec le patch gratos, la version initiale payante était safe).



On voit bien où Apple a rogné pour diminuer les coûts pour faire du gratuit.

Vaut mieux payer 289€ à Microsoft, au moins on est sûr de ce qu’on a.



On peut en plus remarquer que le bug était sur la partie open-source du code. On a beau nous vendre l’open-source comme plus sûr et plus réactif on voit bien ce qu’il en est.



Imaginer comment c’est dans les systèmes Linux où tout est gratuit ET open-source depuis des années.



Vive le closed-source payant! Dès que je rentre ce soir je supprime linux de mon PC…





<img data-src=" />


votre avatar

“Que les médais spécialisés en parlent d’accord, mais bon tous les médias s’y mettent, de BFM à Cuisine TV , pourquoi cette fois-ci ya un tel batage médiatique des médias généralistes?”



Quand un nouveau iXXXXX sort, de BFM à Cuisine TV, c’ est le battage médiatique de tout les médias généralistes.



Pareil ici sauf que cette fois ci cela ne va pas dans le sens qu’ aurait voulu Apple.

votre avatar







Khalev a écrit :



Et on remarquera que le bug n’est présent que dans des versions gratuites. : iOS6 et 7, Mac OS 10.9 (et 10.8 patché avec le patch gratos, la version initiale payante était safe).



On voit bien où Apple a rogné pour diminuer les coûts pour faire du gratuit.

Vaut mieux payer 289€ à Microsoft, au moins on est sûr de ce qu’on a.



On peut en plus remarquer que le bug était sur la partie open-source du code. On a beau nous vendre l’open-source comme plus sûr et plus réactif on voit bien ce qu’il en est.



Imaginer comment c’est dans les systèmes Linux où tout est gratuit ET open-source depuis des années.



Vive le closed-source payant! Dès que je rentre ce soir je supprime linux de mon PC…





La pêche à la dynamite, c’est mal <img data-src=" />


votre avatar







Konrad a écrit :



Bof sous Windows les gens sont habitués et blasés, une nouvelle faille c’est normal…







Une comme ca, exploitable direct, sur le SSL… j’ai pas souvenir même chez Microsoft. En bien moins pire, on pourrait citer celle de Debian il y a qq années, qui affectait l’entropie du générateur de nb aléatoires( qui est un pion central de tout système crypto).



Là, c’était l’excès inverse d’Apple: Si ces derniers ne passent visiblement aucun outil de vérif de code dans leur process d’intégration, pour Debian ce fut… une alerte Valgrind qu’il aurait fallu ignorer concernant une variable non initialisée, qui entrait dans la chaine de génération d’aléa!



https://www.schneier.com/blog/archives/2008/05/random_number_b.html



C’est peut-être suite à cela qu’Apple a arrêté l’usage de ce type d’outils sur ce type de sections de code! <img data-src=" />


votre avatar







ToMMyBoaY a écrit :



Je viens de consulter mes cartes de tarot et je suis tombé sur l’excuse. <img data-src=" />





Celle ci ?

<img data-src=" />


votre avatar









Papa Panda a écrit :



Maintenant ils devraient communiquer sur la raison du retard de cette correction …mais bon, le font jamais <img data-src=" />







Le retard vient sans doute du faite, qu’en plus de corriger le problème, ils doivent en plus remettre en place une autre porte pour la NSA <img data-src=" />


votre avatar







Khalev a écrit :



Et on remarquera que le bug n’est présent que dans des versions gratuites. : iOS6 et 7, Mac OS 10.9 (et 10.8 patché avec le patch gratos, la version initiale payante était safe).



On voit bien où Apple a rogné pour diminuer les coûts pour faire du gratuit.

Vaut mieux payer 289€ à Microsoft, au moins on est sûr de ce qu’on a.



On peut en plus remarquer que le bug était sur la partie open-source du code. On a beau nous vendre l’open-source comme plus sûr et plus réactif on voit bien ce qu’il en est.



Imaginer comment c’est dans les systèmes Linux où tout est gratuit ET open-source depuis des années.



Vive le closed-source payant! Dès que je rentre ce soir je supprime linux de mon PC…





<img data-src=" />





Trop gros passera pas ,celui là <img data-src=" />


votre avatar







Bourrique a écrit :



Celle ci ?

<img data-src=" />







<img data-src=" /><img data-src=" />


votre avatar

ça troll dure par ici <img data-src=" /><img data-src=" />

votre avatar







Papa Panda a écrit :



Trop gros passera pas ,celui là <img data-src=" />





Pourtant ça me semblait fin et discret. J’ai regardé comment faisait un type dont j’ai entendu parlé : Jvachez ou un nom comme ça.



<img data-src=" />


votre avatar







yl a écrit :



Une comme ca, exploitable direct, sur le SSL… j’ai pas souvenir même chez Microsoft. En bien moins pire, on pourrait citer celle de Debian il y a qq années, qui affectait l’entropie du générateur de nb aléatoires( qui est un pion central de tout système crypto).



Là, c’était l’excès inverse d’Apple: Si ces derniers ne passent visiblement aucun outil de vérif de code dans leur process d’intégration, pour Debian ce fut… une alerte Valgrind qu’il aurait fallu ignorer concernant une variable non initialisée, qui entrait dans la chaine de génération d’aléa!



https://www.schneier.com/blog/archives/2008/05/random_number_b.html





Tout à fait, d’ailleurs cette faille dans Debian avait fait couler beaucoup d’encre aussi à l’époque.



L’histoire raconte que les «core developers» de OpenSSL avaient déjà compris en mars 2003 que ces «warnings» donnés par Valgrind pouvaient mener à une faille de sécurité, et qu’il ne fallait donc pas suivre ces recommandations. Malgré cela, en septembre 2006 la modification est propagée dans Debian, et ne sera pas corrigée avant mai 2008.



Cette faille avait aussi déclenché un tollé, et certains se demandaient s’il s’agissait vraiment d’une erreur, ou d’une backdoor introduite pour la NSA



Il y a même eu des comics sur ce bug <img data-src=" />


votre avatar







Khalev a écrit :



Pourtant ça me semblait fin et discret. J’ai regardé comment faisait un type dont j’ai entendu parlé : Jvachez ou un nom comme ça.



<img data-src=" />







C’était pas discret: La dernière phrase indique clairement (donc pas discrètement) que ce n’est surtout pas à prendre au premier degré


votre avatar







levhieu a écrit :



C’était pas discret: La dernière phrase indique clairement (donc pas discrètement) que ce n’est surtout pas à prendre au premier degré





Captain Obvious à la rescousse !



<img data-src=" />


votre avatar

“La pêche à la dynamite, c’est mal ”



Vu le niveau du troll, on est plus proche de l’ arsenal nucléaire façon Corée du Nord que de la dynamite…

votre avatar







levhieu a écrit :



C’était pas discret: La dernière phrase indique clairement (donc pas discrètement) que ce n’est surtout pas à prendre au premier degré





Zut… Je me doutais que c’était en trop.



Bon je retourne prendre des cours de troll.


votre avatar







Khalev a écrit :



Pourtant ça me semblait fin et discret. J’ai regardé comment faisait un type dont j’ai entendu parlé : Jvachez ou un nom comme ça.



<img data-src=" />





La référence , j’te jure <img data-src=" />



CF Wiki :



Maverick provient de Samuel Augustus Maverick (en) (1803–1870), un éleveur texan à l’esprit indépendant. Par extension, il désigne toute personne qui possède ce trait de caractère et ne se conforme donc pas aux codes conventionnels.


votre avatar







Papa Panda a écrit :



Oui ,une gentille boutade , de rien du tout <img data-src=" /> .



Par contre, autant les versions d’avant , je voyais pas mal de retours (qu’ils soient négatifs ou non) mais ,sur cette version, pas grand chose.



Les macusers vous la sentaient comment celle ci ?<img data-src=" />





j’ai qu’un mac sur 2 qui est éligible, et une ou deux applis qui survivraient pas, j’ai pas changé l’OS <img data-src=" /> (10.6.8 forever)

Globalement j’ai lu beaucoup de retours positifs, faut dire toute machine susceptible de faire la màj ne peut qu’y gagner à y passer. Après dans l’ensemble.. aucune idée <img data-src=" />


votre avatar

J’attends avec impatience la 10.9.2 qui est censé corriger mon problème de Wifi que j’ai sur mon MacBookAir 13 pouces (Mid 2013). Ca commence a me….

votre avatar

moi pour les quelques problèmes de stabilité sinon retour a l’os d’origine (ML) la roue coloré qui tourne c’est joli mais comment dire…bien pénible.

votre avatar

Tiens en parlant de faille de sécurité, le programme EMET de Microsoft qui permet de paré a de nombreuses failles a été bypassé par des chercheurs. Bon là, ça ne doit pas être un simple goto fail de trop dans EMET <img data-src=" />

votre avatar

OSX Mavericks 10.9.2 disponible en version finale, avec le patch pour la faille SSL.

votre avatar

Bonsoir, il y a enfin une justice à chacun son tour d’avoir des failles et des virus. C’est la rançon du succès. Coucou Apple welcome to the real world. <img data-src=" />

votre avatar







Hebus a écrit :



Je comprends pas ce buzz pour un truc qui arrive tous les jours <img data-src=" />





<img data-src=" />

Ca arrive tous les jours chez Apple ce genre de bugs ???


votre avatar

D’un autre coté y’a pas grand monde sur Mavericks <img data-src=" />

votre avatar







Vanilys a écrit :



<img data-src=" />

Ca arrive tous les jours chez Apple ce genre de bugs ???





Ca arrive tous les jours dans l’informatique oui. Ya pas qu’Apple dans la vie hein ;)


votre avatar







wbtoto a écrit :



Bonsoir, il y a enfin une justice à chacun son tour d’avoir des failles et des virus. C’est la rançon du succès. Coucou Apple welcome to the real world.





Toi, t’as pas lu la news, ou alors tu n’as rien compris. La faille n’est pas là à cause du succès d’Apple, ni par une quelconque «justice» hein…



Et pour autant que l’on sache cette faille n’a pas été exploitée, donc parler de «virus»… <img data-src=" />


votre avatar







Hebus a écrit :



Ca arrive tous les jours dans l’informatique oui. Ya pas qu’Apple dans la vie hein ;)





La preuve je vois aujourd’hui dans la mise à jour de ma Ubuntu 12.04 LTS :

Version 2.12.14-5ubuntu3.6 :





* SECURITY UPDATE: incorrect v1 intermediate cert handling



 - debian/patches/CVE-2014-1959.patch: don't consider a v1 intermediate   

cert to be a valid CA by default in lib/x509/verify.c.

- CVE-2014-1959







Mise à jour de GNU TLS library.



En cherchant plus d’infos, je n’ai pas trouvé de description ici.

Mais en lisant le commentaire sur le patch, je comprends qu’un certificat intermédiaire pouvait être considéré comme une Autorité de Certification valide.

Ça doit aussi permettre une attaque Man In the Middle.



L’avis du CERT-FR :http://www.cert.ssi.gouv.fr/site/CERTFR-2014-AVI-071/CERTFR-2014-AVI-071.html



En cherchant plus, je tombe surcette modification de fichier faite il y a moins de 24 h.



On y voit au minimum qu’il y a une initialisation à 0 de result au début, donc peut-être des cas où result avait une valeur non définie et en fin du diff l’ajout d’une vérification du retour de la fonction mac_to_entry avant l’utilisation de ce retour : auparavant, on ignorait le retour (la fonction était en paramètre d’une autre fonction) et on pouvait donc valider un mauvais certificat.



Bref, les vérifications de certificats, il y a pas mal de choses à faire et un bug est vite arrivé.



La lib GNU TLS est beaucoup moins utilisée que OPEN SSL, mais le problème est quand même là !



De plus, il peut y avoir des incompatibilités de licences entre des prog GPL et OPEN SSL. Dans ce cas, GNU TLS est souvent utilisé.


votre avatar

Tout ce que je sais, c’est que je travaille dans un SAV informatique, et tous les jours, c’est 6 à 10 pc qui reviennent vérolés de partout, en installant tout et n’importe quoi, donc en faire tout un foin pour une faille (certe importante)…



Regardez toutes les saloperies que les gens installent sans le savoir, je n’ai jamais vu ca sur ni sur mac ni sur linux.



Ceci dit, que cela continue, sinon je n’ai plus de boulot!

votre avatar







razorbak56 a écrit :



Tout ce que je sais, c’est que je travaille dans un SAV informatique, et tous les jours, c’est 6 à 10 pc qui reviennent vérolés de partout, en installant tout et n’importe quoi, donc en faire tout un foin pour une faille (certe importante)…



Regardez toutes les saloperies que les gens installent sans le savoir, je n’ai jamais vu ca sur ni sur mac ni sur linux.



Ceci dit, que cela continue, sinon je n’ai plus de boulot!







toi on voit que tu n’as pas vu l’ancien mac d’un ami…vérolé de partout a chaque fois…(theme pour le dock programmes de customization à tout va…)


votre avatar







Vieux_Coyote a écrit :



c’est quand même fou qu’Apple ne publie pas la Màj dès maintenant, étant donné l’importance de la faille… ça serait microsoft, tout le monde monterait au créneau…







Surtout en ayant laissé passer un truc pareil:

http://www.msuiche.net/2014/02/22/sslverifysignedserverkeyexchange-a-k-a-the-got…


votre avatar

Faut être patient.

Déjà les maj ne sont plus payantes <img data-src=" /> .



Maintenant ils devraient communiquer sur la raison du retard de cette correction …mais bon, le font jamais <img data-src=" />

votre avatar

La news dit :



Elle reste cependant pleinement ouverte dans Mavericks (versions 10.9.0 et 10.9.1 du système) et il est recommandé de ne pas utiliser les Mac sur des réseaux publics vers des sites en https



Le Man In the Middle ne s’applique pas que sur les réseaux publics (dans le sens de la news et de la précédente qui recommande l’utilisation d’un réseau WiFi privé). Si par réseau public, on avait voulu inclure Internet, j’aurais été d’accord.

votre avatar







yl a écrit :



Surtout en ayant laissé passer un truc pareil:

http://www.msuiche.net/2014/02/22/sslverifysignedserverkeyexchange-a-k-a-the-got…







Je pige pas trop le bug, avoir mis deux “goto fail d’affilée fait que, quoi qu’il arrive, la ligne “goto fail;” est exécutée (pas de condition if) ? En quoi c’est une backdoor ?


votre avatar

On sait de quoi il s’agit comme faille ? Un mot de passe admin trop simple laissé par les dev Apple ? (style password, admin, apple, 12345678…)

votre avatar







fred42 a écrit :



La news dit :



Le Man In the Middle ne s’applique pas que sur les réseaux publics (dans le sens de la news et de la précédente qui recommande l’utilisation d’un réseau WiFi privé). Si par réseau public, on avait voulu inclure Internet, j’aurais été d’accord.







Chut, faut pas le dire, y’a ptete des gens qui veulent exploiter cette faille pour faire mumuse avec les identifiants des comptes de leurs voisins, après être rentré dans leur réseau local via le wifi hyper sécurisé à l’aide de WEP. <img data-src=" />


votre avatar







Vieux_Coyote a écrit :



Je pige pas trop le bug, avoir mis deux “goto fail d’affilée fait que, quoi qu’il arrive, la ligne “goto fail;” est exécutée (pas de condition if) ? En quoi c’est une backdoor ?





Ça empêche que les tests qui suivent détectent une erreur.



Dans le traitement du fail, la fonction retourne err qui vaut 0 et donc la fonction indique que le certificat est valide avant d’avoir pu effectuer les 2 tests qui suivent.


votre avatar







fred42 a écrit :



Ça empêche que les tests qui suivent détectent une erreur.



Dans le traitement du fail, la fonction retourne err qui vaut 0 et donc la fonction indique que le certificat est valide avant d’avoir pu effectuer les 2 tests qui suivent.





Dit comme ça, c’est plus compréhensible <img data-src=" />


votre avatar







Vieux_Coyote a écrit :



Je pige pas trop le bug, avoir mis deux “goto fail d’affilée fait que, quoi qu’il arrive, la ligne “goto fail;” est exécutée (pas de condition if) ? En quoi c’est une backdoor ?







Car dans ce cas err n’est pas initialisé par le retour d’une fct en erreur… C’est la valeur présente en pile à l’appel. Et s’il est possible de la forcer à zéro avant, on bypasse totalement les controles <img data-src=" />


votre avatar







fred42 a écrit :



Ça empêche que les tests qui suivent détectent une erreur.



Dans le traitement du fail, la fonction retourne err qui vaut 0 et donc la fonction indique que le certificat est valide avant d’avoir pu effectuer les 2 tests qui suivent.









yl a écrit :



Car dans ce cas err n’est pas initialisé par le retour d’une fct en erreur… C’est la valeur présente en pile à l’appel. Et s’il est possible de la forcer à zéro avant, on bypasse totalement les controles <img data-src=" />







Oki, merci beaucoup !! :)


votre avatar







Vieux_Coyote a écrit :



Je pige pas trop le bug, avoir mis deux “goto fail d’affilée fait que, quoi qu’il arrive, la ligne “goto fail;” est exécutée (pas de condition if) ? En quoi c’est une backdoor ?





Le premier “goto fail” est bien soumis à la condition “if” au-dessus.



En revanche le second “goto fail” (introduit par Apple) n’est pas soumis à cette condition (l’indentation fait croire que c’est le cas, mais en fait non), et le programme sortira toujours avec une valeur positive (err=0).



Cela veut dire que n’importe quel certificat SSL, même bidon, est accepté par cette fonction.


votre avatar







yl a écrit :



Car dans ce cas err n’est pas initialisé par le retour d’une fct en erreur… C’est la valeur présente en pile à l’appel. Et s’il est possible de la forcer à zéro avant, on bypasse totalement les controles <img data-src=" />





Faux sur la première partie : err vaut 0.

il a été mis à cette valeur par :



if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)



     goto fail;





S’il valait autre chose que 0, le goto fail (le premier qui est dans le if) aurait été exécuté.


votre avatar







Vieux_Coyote a écrit :



Je pige pas trop le bug, avoir mis deux “goto fail d’affilée fait que, quoi qu’il arrive, la ligne “goto fail;” est exécutée (pas de condition if) ? En quoi c’est une backdoor ?





Ben c’est tellement gros comme erreur (entre le dev, le code, la copliation avec les mauvaises options, la Q&A…) que certains soupconnent un ajout intentionnel, pour permettre un accès facilité à la NSA ou autre.





Cela dit, moi ce qui m’étonne dans cette affaire c’est que tout le monde en fait un foin alors que bon des failles et des vulnérabilités, y’en a tout les jours dans tout plein de systèmes/logiciels/app…

Pourquoi autant de bruit ici?


votre avatar







fred42 a écrit :



Faux sur la première partie : err vaut 0.







Exact! Le crime parfait, qui a en plus le bon goût de ressembler à une erreur de copier-coller! <img data-src=" />



Ca en dit en tout cas long sur les procédures de controle d’Apple…


votre avatar







Vieux_Coyote a écrit :



c’est quand même fou qu’Apple ne publie pas la Màj dès maintenant, étant donné l’importance de la faille… ça serait microsoft, tout le monde monterait au créneau…







En même temps , chez MS.. même pour les failles importantes , il faut attendre les Patch Tuesday, donc une fois par mois … <img data-src=" />



Tu veux donc dire que les gens passent tout leur temps à monter au créneau..? <img data-src=" />



C’est même valable pour la gruyère qu’est IE..un comble pour un navigateur directement exposé au net, et qui n’est pas un modèle en terme de sécurité..





Ils ont surtout tous beaucoup à apprendre de la réactivité de Mozilla concernant Firefox <img data-src=" />


votre avatar







Mme_Michu a écrit :



En même temps , c’est MS.. même pour les failles importantes , il faut attendre les Patch Tuesday, donc une fois par mois … <img data-src=" />





Non non, dans certains cas critiques la mise à jour est publiée hors du cycle de Patch Tuesday.


votre avatar







gallean a écrit :



toi on voit que tu n’as pas vu l’ancien mac d’un ami…vérolé de partout a chaque fois…(theme pour le dock programmes de customization à tout va…)





T’aurais des noms d’app en cause ? (Parce que a part CandyBar et Mirage, j’ai rien d’autre, mais sait-on jamais) <img data-src=" />


votre avatar

euh comme ça remonte a quelques temps j’ai un peu oublié les noms…si ça me reviens je te tiens au jus (en gros ça faisait un espèce de gros carré bleu “soit disant joli” et faisait bien ramer le systeme

votre avatar

bon sinon mis a jour…c’est mieux plus stable mais c’est toujours aussi lent a démarrer (si c’est pas malheureux 1”20 avec un ssd m500 480GB)

votre avatar

pensez a réactiver le trim pour les ssd non apple ^^

[MàJ] OS X Mavericks 10.9.2 est disponible et corrige la faille SSL

Fermer