Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Une faille critique identifiée dans le noyau de macOS par le Project Zero

Une faille critique identifiée dans le noyau de macOS par le Project Zero

Le 04 mars 2019 à 09h39

L'initiative de Google a encore frappé. L’un des chercheurs a trouvé une faille « très sérieuse » dans macOS il y a plus de 90 jours, avertissant Apple dans la foulée. Puisqu’aucun correctif n’a été publié, les détails de la brèche sont maintenant publics.

Le souci est lié à la stratégie COW (copy-on-write, ou copie sur écriture), qui permet quand tout se passe bien de créer des copies privées des ressources par des processus qui en ont besoin, permettant des accès simultanés. Ces copies sont créées quand des besoins de modification apparaissent.

La faille semble résider dans l’implémentation que fait Apple de la technique dans le noyau de macOS, XNU. Selon le chercheur, un pirate peut modifier un fichier sur le disque local sans que le sous-système concerné soit averti.

macOS permettant de monter des images disque, une modification directe (via prwrite() par exemple) n’est pas propagée à son système de fichiers. Le souci est d’autant plus important que l’opération ne demande pas de droits particuliers.

La vulnérabilité est considérée comme hautement critique. Le chercheur fournit dans son résumé les détails d’un prototype d’exploitation. Il dit être en contact avec Apple pour la création du correctif, qui arrivera dans une prochaine mise à jour, bien qu’aucun délai n’ait été donné.

Le 04 mars 2019 à 09h39

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Hannnn une faille chez les donneurs de leçons!!!!!

Et les neuneus de google qui publient alors qu’ils savent qu’un correctif est en cours mais non publié…



Je cours acheter du popcorn <img data-src=" />

votre avatar







yvan a écrit :



Hannnn une faille chez les donneurs de leçons!!!!!

Et les neuneus de google qui publient alors qu’ils savent qu’un correctif est en cours mais non publié…



Je cours acheter du popcorn <img data-src=" />





Pour info les règles du Project Zero sont claires. Au bout de 60 jours ils balancent les détails de la vulnérabilité.



Ils justifient ça par le fait que c’est déjà long 2 mois et que ca va aussi forcer les éditeurs de soft à se bouger les fesses pour corriger.



On dirait que non.&nbsp;&nbsp;<img data-src=" /><img data-src=" />

&nbsp;


votre avatar

Si les règles sont bêtes ce n’est pas parce qu’elles sont écrites et claires qu’elles en prennent de la valeur hein.

votre avatar

Ouais donc en gros si les mecs galèrent à appliquer un correctif bah on pousse le truc dans la nature histoire de foutre les utilisateurs dans la merde. Toujours aussi cons chez Google.

votre avatar







yvan a écrit :



Si les règles sont bêtes ce n’est pas parce qu’elles sont écrites et claires qu’elles en prennent de la valeur hein.





Sauf qu’elles ne sont pas vraiment bêtes. Si il n’y a pas delai limite, les responsables vont laisser trainer la correction et il y a risque que la faille soit utilisée en zero-day.

Deux mois est un délai plutôt correct.


votre avatar







RévolutioN a écrit :



Du temps de Steeve Jobs ça ne se serait jamais passé, la qualité a chuté, aujourd’hui sans lui Apple n’est plus que l’ombre de la marque sans aucuns bugs ni failles qu’elle était autrefois.





Trop gros, désolé


votre avatar







RévolutioN a écrit :



&nbsp; … la marque sans aucuns bugs ni failles qu’elle était autrefois.





Pour rappel, les jailbreaks d’iPhone qui étaient monnaie courante pendant les années Jobs exploitaient des failles et des bugs dans iOS ou les appareils. Donc on est loin du “sans faille”.


votre avatar

Il trollait. ;-)

votre avatar

<img data-src=" />

votre avatar

Alors que là il y a la garantie d’une exploitation ‘script kiddie’ c’est effectivement beaucoup moins dangereux et très intelligent…

A l’échelle d’un développement d’OS 2 mois ce n’est pas forcément raisonnable non, tout dépend du composant impacté. Le bon sens et la concertation seront toujours mieux que LA REGLE !!!! <img data-src=" /><img data-src=" /><img data-src=" />

Une faille critique identifiée dans le noyau de macOS par le Project Zero

Fermer