Les failles de sécurité dans l’environnement Mac sont de moins en moins rares. Coup sur coup, deux vulnérabilités impactant les dernières versions de MacOS X ont été découvertes.
La première, qualifié de « modérément critique »par Secunia touche les versions 10.5.1 et 10.5.2 de l’OS, soit les dernières moutures de Leopard. Le chercheur Neil Kettle a ainsi publié une POC (preuve de concept) exploitant une faille dans le protocole IPv6 qui doit permettre d’éviter la pénurie des adresses IP de l’IPv4. Selon nos confrères de Vulnérabilité.com, c’est l’implémentation de ce protocole dans l’OS qui pose problème.
« Dans un réseau local ou distant, le risque généré par cette vulnérabilité est un déni de service. Plus précisément, la vulnérabilité résulte d’une erreur présente au niveau de la fonction ipcomp6_input() dans bsd/netinet6/ipcomp_input.c qui ne gère pas correctement certains paquets IPv6 avec l’entête IPComp (IP Payload COMpression Protocol) », explique le webzine spécialisé dans la sécurité.
Le risque de cette vulnérabilité est limité puisque les utilisateurs sont encore peu nombreux à exploiter IPv6, mais ce protocole devrait à terme s’imposer. Gageons que Apple publiera un correctif rapidement.
La deuxième vulnérabilité semble bien plus critique. Confirmée par Apple, elle exploite un problème dans la façon dont MacOS X gère les mots de passe pour ouvrir une session.
Concrètement, une fois le mot de passe entré pour déverrouiller le système, il est stocké ‘en clair’ dans la mémoire de la machine jusqu’à que l’utilisateur achève sa session. Si un attaquant distant a un accès à la machine (via un malware installé), il pourra récupérer les données stockées et donc le mot de passe en clair.
Un patch est en préparation du côté de Cupertino.
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…