L'initiative de Google a encore frappé. L’un des chercheurs a trouvé une faille « très sérieuse » dans macOS il y a plus de 90 jours, avertissant Apple dans la foulée. Puisqu’aucun correctif n’a été publié, les détails de la brèche sont maintenant publics.
Le souci est lié à la stratégie COW (copy-on-write, ou copie sur écriture), qui permet quand tout se passe bien de créer des copies privées des ressources par des processus qui en ont besoin, permettant des accès simultanés. Ces copies sont créées quand des besoins de modification apparaissent.
La faille semble résider dans l’implémentation que fait Apple de la technique dans le noyau de macOS, XNU. Selon le chercheur, un pirate peut modifier un fichier sur le disque local sans que le sous-système concerné soit averti.
macOS permettant de monter des images disque, une modification directe (via prwrite() par exemple) n’est pas propagée à son système de fichiers. Le souci est d’autant plus important que l’opération ne demande pas de droits particuliers.
La vulnérabilité est considérée comme hautement critique. Le chercheur fournit dans son résumé les détails d’un prototype d’exploitation. Il dit être en contact avec Apple pour la création du correctif, qui arrivera dans une prochaine mise à jour, bien qu’aucun délai n’ait été donné.
Commentaires (11)
#1
Hannnn une faille chez les donneurs de leçons!!!!!
" />
Et les neuneus de google qui publient alors qu’ils savent qu’un correctif est en cours mais non publié…
Je cours acheter du popcorn
#2
#3
Si les règles sont bêtes ce n’est pas parce qu’elles sont écrites et claires qu’elles en prennent de la valeur hein.
#4
Ouais donc en gros si les mecs galèrent à appliquer un correctif bah on pousse le truc dans la nature histoire de foutre les utilisateurs dans la merde. Toujours aussi cons chez Google.
#5
#6
#7
#8
Il trollait. ;-)
#9
#10
Alors que là il y a la garantie d’une exploitation ‘script kiddie’ c’est effectivement beaucoup moins dangereux et très intelligent…
" />
" />
" />
A l’échelle d’un développement d’OS 2 mois ce n’est pas forcément raisonnable non, tout dépend du composant impacté. Le bon sens et la concertation seront toujours mieux que LA REGLE !!!!