Le 22 février, le chercheur Filippo Cavallarin signalait une importante faille de sécurité à Apple. Elle permettait le contournement de GateKeeper et donc à une application téléchargée de déclencher des actions sans les vérifications de sécurité propres au mécanisme du système.
Passé le délai standard de 90 jours pour laisser à l’éditeur pour corriger le tir, le chercheur s’est rendu à l’évidence à la fin du mois dernier : Apple n’a rien fait. Il a donc publié les détails de la brèche ainsi qu’un prototype d’exploitation.
Or, voilà qu’Intego rapporte désormais que quatre fichiers DMG (des images disque servant régulièrement à l’installation de logiciels sous macOS) ont été envoyés à VirusTotal, avec la particularité d’exploiter la brèche.
Toutes ne font que créer un fichier texte, ce qui indiquerait une phase de test. L’une d’elles utilisait cependant une signature Apple ID déjà repérée sur des centaines de faux installeurs Flash Player sur les trois derniers mois pour véhiculer l’adware OSX/Surfbuyer.
Intego a averti Apple de l’exploitation de la faille, entre temps baptisée OSX/Linker. Au moment où Intego publiait son billet de blog sur ses découvertes, Apple était en train de révoquer le certificat, ce qui devrait être fait désormais.
Reste le problème de fond, car Apple n’a rien dit sur la correction de la faille elle-même.
Commentaires (6)
#1
C’est pas une faille mais une feature sinon ça colle pas super bien avec le discours de tim qui balance ce sont les concurrents d’apple (facebook et google en première ligne) qui laissent trainés des failles de sécurité.
" />
Donc soit timmy est un mythomane, soit…
#2
En même temps Apple n’a jamais été réputée pour être réactif sur le colmatage de faille.
#3
Rappelez-moi c’est quoi le dernier slogan d’Apple
Votre vie privée notre priorité quelque chose comme ça….
#4
je dirais maintenant “votre sécurité, vous vous démerdé” ? sérieux apple …
#5
Effectivement, Apple ne s’est jamais précipité pour corriger les failles de sécurité de ses OS. Que ce soit macOS ou iOS, il s’écoule souvent plusieurs mois avant de voir des failles critiques être corrigées.
" />).
Même Microsoft fait beaucoup mieux sur les délais de déploiement des correctifs (c’est dire !).
Mais il faut garder à l’esprit que la principale faille de sécurité se situera toujours entre le clavier et la chaise (je l’ai encore prouvé hier
#6
Apple n’a jamais été réputé pour corriger rapidement…
…jusqu’à se demander si leurs cadres internes sont de la (très) vieille école (du propriétaire), qui est donc que tant qu’on ne parle pas des failles, c’est un produit sûr.
La sécurité par le secret.