Google déniche 3 failles Zero Day dans Mac OS X

La Rédaction,
Alerte aux failles critiques

Après Microsoft, les chercheurs en sécurité du Project Zero de Google pointent les manquements d’Apple en matière de correctifs de sécurité.

Après Microsoft, au tour d’Apple. Pas plus que celle de Redmond, la firme de Cupertino n’échappe à l’attention des fins limiers du Project Zero de Google. Cette équipe de chercheurs en sécurité informatique chargée de détecter les failles dans les principaux produits logiciels du marché vient de dévoiler trois vulnérabilités affectant différentes composantes du système d’exploitation OS X.

Aucune de ces brèches ne peut être exploitée sans accès direct à la machine visée, mais le niveau de criticité est jugé sévère au vu des actions qui peuvent être réalisées par des tiers après élévation de privilèges au niveau administrateur. Indique ITespresso.fr. Communiquée à Apple le 20 octobre 2014, la première faille concerne le demon système networkd, exécuté avec les permissions de la session en cours, et qui implémente le service réseau XPC. Selon Google, le problème réside dans la gestion des paramètres associés aux fonctions xpc_dictionary_get_value et xpc_array_get_value. D’après les chercheurs en sécurité, il est possible d’en atténuer les effets sur la dernière version d’OS X (10.10 « Yosemite »).

Corruption de mémoire

Même constat pour la deuxième faille, qui se trouve dans le framework open source IOKit, basé sur une forme simplifiée du langage C++ et utilisé par les développeurs pour élaborer des pilotes à destination d’OS X, mais aussi d’iOS. Le problème réside dans la gestion des entrées-sorties pour la communication avec différents périphériques système.

La troisième faille affecte aussi IOKit et plus particulièrement la gestion des connexions Bluetooth. Elle peut entraîner une corruption de la mémoire par dépassement de capacité en manipulant la commande bzero pour injecter des bits.

Accélérer le développement des correctifs

Trois failles non corrigées potentiellement exploitables, donc. C’est pour cela que Google les rend public. Dans un premier temps, le Project Zero ne communique ces vulnérabilités qu’aux éditeurs concernés. Mais à défaut d’une réaction de l’éditeur sous 90 jours, Google rend publiques les failles en question espérant ainsi faire pression sur le responsable afin de faire accélérer le développement de correctifs. Comme l’a notamment appris à ses dépens Microsoft à plusieurs reprises ces derniers temps.

Google n’avait ainsi pas attendu la publication du Patch Tuesday de janvier pour dévoiler une faille dans Windows, ce que lui a vertement reproché Microsoft. Ce qui n’a pas empêché Mountain View de recommencer quelques jours plus tard…

Lire également
Project Zero : l’équipe de choc anti-failles zero day de Google
Flash Player victime d’une faille zero day exploitée
Faille critique dans le firmware UEFI de plusieurs constructeurs

crédit photo © drx – Fotolia.com